作者：云诚信息 DARMA实验室

责任编辑：国士无双 小花酱  Ayn

仅供内部参考 禁止恶意转载

前言

在日常实战攻击中，经常需要针对目标的邮件服务器、文件服务器等汇聚情报材料的目标发起深度攻击。除了鱼叉攻击之外，我们更喜欢能够从漏洞利用入手，把邮件服务器完全控制，实现用户态之上的无痕密取等等。
邮服我们能做什么？
控制邮箱—》重置社交账号密码-》控制社交、通联账号等
获取信息等等等等

一、邮服发现的常用手法

1.1，解析查询托管邮服#

通常我们要查明该组织的邮服是自建还是托管？
通过MX、TXT等解析记录，我们可以直接判断出来

如图MX解析记录，初步判断谷歌托管邮服#

如图TXT解析记录，谷歌托管邮服时的验证记录#

一键全查解析记录，分析出是protonmail托管邮服#

一旦发现是此类解析记录的，基本可以判定是第三方托管邮件服务器，这时候只能靠跨站取信或者是控制其域名权限来劫持邮服解析，从而实现控制邮服的可能。

1.2，自建邮服的资产发现#

同样，在日常调研中发现有很多也是自建邮服，当然这个也需要前期调研。

#######首先还是通过MX解析，MX是判定邮服的关键

初步分析，可能是自建邮服。

经过对该MX解析的smtp服务器的IP探测，和端口扫描，发现邮服端口都在开放。

可以判断该邮服为自建邮服，进而可以进一步发现其开放更多的服务，从而进行下一步的攻击计划。

1.3，收信查看源文件(过CDN)#

但是随着见到的目标的增多，我们发现有时候MX的解析记录并不一定就是邮服
很多时候有经验的安全防护人员，会把邮服藏在不相干的资产上。
所以我们往往在通过第三方网站查询落地时，被绕来绕去

仔细研读了SMTP等协议我们发现，可以在收信上做文章。#

首先，我们要准备个匿名邮箱，最好能客户端收信的。

然后我们到其网站上留言，或者信箱反馈，诱使其发送邮件反馈(最好的全自动的)。

或者是这样的

等邮件收到，我们导出成.eml文件

然后以文本形式打开来

注意看，第一个就是发信邮服的真实IP，打开它吧，往往有惊喜(也可以用在绕过CDN。)#

---

1.4，内网邮服#

这个就八仙过海了
但无论怎样，他都要映射在互联网上去。

这个之前的文章里讲的很清楚，进入内网中怎样发现。

---

二、密取的办法#

2.1，邮箱系统跨站#

要知道，对方是web方式收件箱，一样存在前端缺陷
我们通过漏洞挖掘，发现一些在邮件名和邮件正文中的存储跨站。
这样可以打回来web邮箱的session凭证等。

通过session取信，通过神行的cookie编辑插件，直接修改cookie等等。

2.2，协议漏洞收信#

这个知道有大佬挖出过，但实际没有使用过。
暂且不表

2.3，服务器提取源文件#

IMAP等邮件服务器的邮件往往以文件的形式存储在服务器上
我们控制了其服务器，就可以提前下载，后缀改为.eml即可

下载后，改后缀为.eml 即可打开

这里有个小技巧，Linux上是邮服往往会为邮件用户创建一个用户#

我们在一些以他们名字命名的目录下可以找到。#

2.4，凭证态绕过WEB态#

这个主要针对outlook等多维度身份认证的
有时候我们拥有了其他凭证一样可以提取邮件
因为这个比较复杂，而且需要专用的工具，就放在下次讲#

三、一些查询解析等信息的网站#

https://mxtoolbox.com 查询解析带记录 推荐

https://www.whatsmydns.net 查询解析带 推荐

https://pentest-tools.com/home 查询解析带图形化

https://dnschecker.org/ 查询解析带图形化

https://viewdns.info/ 查询一堆

https://network-tools.com/ 一站式查询解析

---

欢迎关注 圈子社区官方公众号，不花钱，不求人、获得最新实战资源！

公益，鲜活，专业

关于圈子社区：
我们是一个非盈利,封闭的白帽子技术交流社区。目前成员2000+,拥有业内首个自主研发的红蓝实战靶场(公安部已列装),体系化学习和燃爆的交流气氛助你成为真正的大佬，社区专注实战，崇尚技术，如果你也是实战派，请关注我们。
社区地址：(请使用https访问)
https://www.secquan.org

本文始发于微信公众号（Secquan圈子社区）：红队公益计划-邮服的发现和密取手法