作者:云诚信息 DARMA实验室
责任编辑:国士无双 小花酱 Ayn
仅供内部参考 禁止恶意转载
前言
在日常实战攻击中,经常需要针对目标的邮件服务器、文件服务器等汇聚情报材料的目标发起深度攻击。除了鱼叉攻击之外,我们更喜欢能够从漏洞利用入手,把邮件服务器完全控制,实现用户态之上的无痕密取等等。
邮服我们能做什么?
控制邮箱—》重置社交账号密码-》控制社交、通联账号等
获取信息等等等等
一、邮服发现的常用手法
1.1,解析查询托管邮服#
通常我们要查明该组织的邮服是自建还是托管?
通过MX、TXT等解析记录,我们可以直接判断出来
如图MX解析记录,初步判断谷歌托管邮服#
如图TXT解析记录,谷歌托管邮服时的验证记录#
一键全查解析记录,分析出是protonmail托管邮服#
一旦发现是此类解析记录的,基本可以判定是第三方托管邮件服务器,这时候只能靠跨站取信或者是控制其域名权限来劫持邮服解析,从而实现控制邮服的可能。
1.2,自建邮服的资产发现#
同样,在日常调研中发现有很多也是自建邮服,当然这个也需要前期调研。
#######首先还是通过MX解析,MX是判定邮服的关键
初步分析,可能是自建邮服。
经过对该MX解析的smtp服务器的IP探测,和端口扫描,发现邮服端口都在开放。
可以判断该邮服为自建邮服,进而可以进一步发现其开放更多的服务,从而进行下一步的攻击计划。
1.3,收信查看源文件(过CDN)#
但是随着见到的目标的增多,我们发现有时候MX的解析记录并不一定就是邮服
很多时候有经验的安全防护人员,会把邮服藏在不相干的资产上。
所以我们往往在通过第三方网站查询落地时,被绕来绕去
仔细研读了SMTP等协议我们发现,可以在收信上做文章。#
首先,我们要准备个匿名邮箱,最好能客户端收信的。
然后我们到其网站上留言,或者信箱反馈,诱使其发送邮件反馈(最好的全自动的)。
或者是这样的
等邮件收到,我们导出成.eml文件
然后以文本形式打开来
注意看,第一个就是发信邮服的真实IP,打开它吧,往往有惊喜(也可以用在绕过CDN。)#
1.4,内网邮服#
这个就八仙过海了
但无论怎样,他都要映射在互联网上去。
这个之前的文章里讲的很清楚,进入内网中怎样发现。
二、密取的办法#
2.1,邮箱系统跨站#
要知道,对方是web方式收件箱,一样存在前端缺陷
我们通过漏洞挖掘,发现一些在邮件名和邮件正文中的存储跨站。
这样可以打回来web邮箱的session凭证等。
通过session取信,通过神行的cookie编辑插件,直接修改cookie等等。
2.2,协议漏洞收信#
这个知道有大佬挖出过,但实际没有使用过。
暂且不表
2.3,服务器提取源文件#
IMAP等邮件服务器的邮件往往以文件的形式存储在服务器上
我们控制了其服务器,就可以提前下载,后缀改为.eml即可
下载后,改后缀为.eml 即可打开
这里有个小技巧,Linux上是邮服往往会为邮件用户创建一个用户#
我们在一些以他们名字命名的目录下可以找到。#
2.4,凭证态绕过WEB态#
这个主要针对outlook等多维度身份认证的
有时候我们拥有了其他凭证一样可以提取邮件
因为这个比较复杂,而且需要专用的工具,就放在下次讲#
三、一些查询解析等信息的网站#
https://mxtoolbox.com 查询解析带记录 推荐
https://www.whatsmydns.net 查询解析带 推荐
https://pentest-tools.com/home 查询解析带图形化
https://dnschecker.org/ 查询解析带图形化
https://viewdns.info/ 查询一堆
https://network-tools.com/ 一站式查询解析
欢迎关注 圈子社区官方公众号,不花钱,不求人、获得最新实战资源!
公益,鲜活,专业
关于圈子社区:
我们是一个非盈利,封闭的白帽子技术交流社区。目前成员2000+,拥有业内首个自主研发的红蓝实战靶场(公安部已列装),体系化学习和燃爆的交流气氛助你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。
社区地址:(请使用https访问)
https://www.secquan.org
本文始发于微信公众号(Secquan圈子社区):红队公益计划-邮服的发现和密取手法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论