几个小时前开源的一款 Burp 插件,用于 Outlook 用户信息收集,在已登录 Outlook 账号后,可以使用该插件自动爬取所有联系人的信息
Burp 加载插件后,进入 Outlook 联系人面板,点击 All Users
在 Burp 中 Proxy -> HTTP history 筛选 api 接口
/owa/service.svc?action=FindPeople&app=People
选中该请求,右键菜单 Extensions -> OutLook information collection -> Do OoutLook Email scan
插件会自动爬取所有数据包并生成目录树,可以查看每一个请求响应包
右击该请求会弹出右键菜单,选择获取所有用户邮箱,即可获得所有的邮箱
必须在加载 All Users 的所有数据包才能正常使用,联系人信息基于 All Users数据包信息
在 Burp 中 Proxy -> HTTP history 筛选 api 接口
/owa/service.svc?action=GetPersona&app=People
选中该请求,右键菜单 Extensions -> OutLook information collection -> Do OoutLook Email scan
插件会自动爬取所有数据包并生成目录树,可以查看每一个请求响应包
右击该请求会弹出右键菜单,选择获取 All User 个人信息,可获取所有联系人信息
项目地址:https://github.com/KrystianLi/OutLook
原文始发于微信公众号(天驿安全):刚出的outlook后渗透信息收集工具
评论