【干货分享】Swaks+163邮箱邮件伪造
2022-10-28 09:18:29 Author: 戟星安全实验室(查看原文) 阅读量:55 收藏

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约2648字,阅读约需7分钟。

前言

邮件钓鱼一直是红蓝对抗中比较普遍的手段 ,伪造发件人身份发送钓鱼邮件,也是一种比较常用的方案,该文章提供的方法在qq邮箱、163邮箱、foxmail软件、coremail邮箱收信均可较完美绕过。

Swaks介绍

Swaks 是由John Jetmore编写和维护的功能强大、灵活、可编写脚本、面向事务的 SMTP 测试工具。同时对于一名信息安全高级工程师来说也是一个不错的利用工具!它通常被用来伪造邮件,进行钓鱼、社工等操作,但是这种也是具有一定风险的,同时在这里提醒广大用户在收到邮件时,不要直接打开邮件,先看看邮件的域名以及头标题等信息是否正确,不然一个贸然的操作有时候将可能导致自己被钓鱼甚至攻击!

Swaks基本用法

swaks --to test@qq.com         测试邮箱的连通性;--from    test@qq.com  //发件人邮箱;--ehlo    qq.com      //伪造邮件ehlo头,即是发件人邮箱的域名。提供身份认证--body    "hello"    //引号中的内容即为邮件正文;--header  "Subject:hello"  //邮件头信息,subject为邮件标题--data    email.eml //将正常源邮件的内容保存成eml文件,再作为正常邮件发送;

SPF验证

SPF是Sender Policy Framework 的缩写,一种以IP地址认证电子邮件发件人身份的技术。接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。例如:当邮件服务器收到自称发件人是[email protected]的邮件,那么到底它是不是真的gmail.com的邮件服务器发过来的呢,我们可以查询gmail.com的SPF记录,以此防止别人伪造你来发邮件。

原理:

SPF 记录实际上是服务器的一个 DNS 记录,原理其实很简单:

假设邮件服务器收到了一封邮件,来自主机的IP 是173.194.72.103,并且声称发件人为[email protected]。为了确认发件人不是伪造的,邮件服务器会去查询example.com的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为173.194.72.103的主机发送邮件,则服务器就认为这封邮件是合法的;如果不允许,则通常会退信,或将其标记为垃圾/仿冒邮件。

因为不怀好心的人虽然可以「声称」他的邮件来自example.com,但是他却无权操作example.com的 DNS 记录;同时他也无法伪造自己的 IP 地址。因此 SPF 是很有效的,当前基本上所有的邮件服务提供商(例如 Gmail、QQ 邮箱等)都会验证它。

SPF绕过

  • 一.制作eml邮件

利用邮件编辑器foxmail等编辑好一封待发送的eml邮件,文本编辑器打开。

编辑邮件头部


X-FOXMAIL-CODE: foxmail_code:     //可以删掉From:                            //发件人To:               //收件人,如果群发邮件可以留空Subject: =?utf-8?B?5Zu95bqG5pyf6Ze05ZGY5bel5Ye66KGM55Sz5oql?= //邮件标题Mime-Version: 1.0Content-Type: multipart/alternative;boundary="----=_NextPart_63370664_03B2AFD0_3184C21F"Content-Transfer-Encoding: 8BitDate: Fri, 30 Sep 2022 23:08:20 +0800            //必须删掉X-Priority: 3Message-ID: <[email protected]>   X-QQ-MIME: TCMime 1.0 by TencentX-Mailer: Foxmail_for_Mac 1.5.6.94567
This is a multi-part message in MIME format.
------=_NextPart_63370664_03B2AFD0_3184C21FContent-Type: text/plain;charset="utf-8"Content-Transfer-Encoding: base64

编辑好的邮件头


From: "qq邮箱管理员"<[email protected]>To: Subject: =?utf-8?B?5Zu95bqG5pyf6Ze05ZGY5bel5Ye66KGM55Sz5oql?=Mime-Version: 1.0Content-Type: multipart/alternative;boundary="----=_NextPart_63370664_03B2AFD0_3184C21F"Content-Transfer-Encoding: 8BitX-Priority: 3X-QQ-MIME: TCMime 1.0 by TencentX-Mailer: Foxmail_for_Mac 1.5.6.94567
This is a multi-part message in MIME format.
  • 二.开启163邮箱smtp服务

在账号与邮箱中心选择POP3/SMTP/IMAP

在POP3/SMTP/IMAP窗口开启服务下选择POP3/SMTP服务,旁边的开启。

在账号安全提示窗口根据提示操作,点继续开启。

  • 三.发送邮件两种方式 根据收信软件判断

1.qq邮箱

 ./swaks --to 收件人邮箱 -f 个人163邮箱 --data 编辑好的eml  --server smtp.163.com -p 25 -au 个人163邮箱 -ap smtp密码

2.foxmail

先利用swaks发送的163邮箱,再利用163邮箱原信转发功能

项目实战

项目中钓鱼实战结果

往期回顾

声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

戟星安全实验室

# 长按二维码 || 点击下方名片 关注我们 #


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDMwNzk2Ng==&mid=2247504397&idx=1&sn=4ced20e52d30588629883ff7c3797bbc&chksm=c27ed81cf509510ac1d7fde9df5f904f8abd46f2a73ee8eea9034fa336e520c1793fb0b8fcc8#rd
如有侵权请联系:admin#unsafe.sh