0x00 安裝:
kali中自帶,或者從作者網頁下載
http://www.jetmore.org/john/code/swaks/
0x01 基本用法:
swaks –to <要測試的郵箱> 用來測試郵箱的連通性
前面都返回250ok,說明該郵箱存在,並且可以正常收信。最后可以看到qq郵箱返回550錯誤,qq官方給出的出錯原因:該郵件內容涉嫌大量群發,並且被多數用戶投訴為垃圾郵件。
我們可以繼續對郵件進行偽造,來繞過qq郵箱的判斷
比如:
swaks --body "test" --header "Subject:testT" -t rcfkve06917@chacuo.net -f admin@local.com
swaks --to rcfkve06917@chacuo.net --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"
其中:
--from <要顯示的發件人郵箱>
--ehlo <偽造的郵件ehlo頭>
--body <郵件正文>
--header <郵件頭信息,subject為郵件標題>
--data <源郵件>
0x02 高級用法:
使用swaks其實還可以進行更高級的郵件偽造,幾乎可以偽造郵件中的每一個參數。
首先,我們需要一份正常的郵件
點擊顯示郵件原文,把原文復制出來,保存為email.txt
其中的received可以都刪除,該項為接收信息,發信中不需要。to項也可以刪除,可以直接用swaks --to來代替。
注意不要忘了加--from 否則qq郵箱會報由kali代發……
swaks --data ./Desktop/email.txt --to xxxx@qq.com --from services@tophant.com
發送成功,qq郵箱沒報垃圾郵件,也沒報有害。
注意在發送的時候沒有加--from參數,因為在測試中我發現收到郵件時,郵件內容與文件內容顯示完全一樣,與參數無關
這里能看到,收件人和發件人都不是靠--to和—from,這里應該需要修改文本的內容,達到隱藏效果
這里略作修改,成功偽造了郵箱,
在測試中,我修改了時間,但事實證明時間是不能被指定的,
這里還有很多地方可以偽造,十分鍾郵箱不顯示,就沒有繼續測試。
郵件偽造結合釣魚網站,免殺程序,在加上一點社工技巧,是比較主動的APT攻擊方式,需要多加注意。
0x03 郵件頭格式 :
Received: 由每個中繼服務站添加,用於幫助追蹤傳輸中出現的錯誤。字段內容包括,發送、接收的主機和接收時間。參數via 用於記錄信息發送后經過的物理站點,”with” 指示了使用的郵件、連接的協議。參數 id 用於標識郵件。參數for 用於記錄發送者的分發的目的地址。 Reply-To: 發件人地址是在發件人標題中實際找到的值。這應該是信息的來源。在大多數郵件客戶機中,這就是您所看到的“發件人”。如果一封電子郵件沒有回復頭,那么所有的人工(郵件客戶端)回復都應該返回到“發件人”地址。 Date: 表示建立信件的時間 From:發件人 To:收件人 cc:抄送人 Subject:郵件標題 Sender:發件人名稱 Message-ID:SMTP協議發郵件自動生成的 X-Priority:郵件優先級 X-mailer:代理發信的客戶端 MIME-Version: 所使用的網絡郵件格式標准版本 Content-Type: 郵件內容數據的類型,包括類型標識(type)和子類型標識(subtype),前者類型標識(type)聲明了數據的類型,后者子類型標識(subtype)為這種數據類型指定了特定的格式。 Return-Path: 退信地址,該字段由信息的最后發送者添加,是關於信息原始來源的地址和回朔路徑。 X-MS-Exchange-Organization-AuthSource:該 X-header 指定代表組織對郵件的身份驗證進行評估的服務器計算機的 FQDN。
郵件頭示例
Received: from unic0rn.com.cn (IP) by 01.unic0rn.cn (IP) with Microsoft SMTP Server id 14.3.123.3; Fri, 23 Dec 5189 14:46:28 +0800 Reply-To: <Reply@qq.com> Date: Fri, 23 Dec 5189 14:46:28 +0800 From: IT_Sytem <From@unic0rn.cn> To: <To@unic0rn.cn> cc: <cc@unic0rn.cn> Sender: Sender Subject: Subject Message-ID: <51891223094431836868@unic0rn.cn> X-Priority: 1 (Highest) X-mailer: Foxmail 6, 13, 102, 15 [cn] MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="=====003_Dragon301638870326_=====" Return-Path: Return@unic0rn.cn X-MS-Exchange-Organization-AuthSource: 01. unic0rn.cn X-MS-Exchange-Organization-AuthAs: Anonymous
0x04 解決辦法:
遇到可疑郵件要查看源郵件,判斷發信人ip是否為可信任的ip。
0x05 10分鍾郵箱:
http://24mail.chacuo.net/ 不可接收附件(txt)
https://10minutemail.net/ 可接收附件(eml后綴)
http://www.linshiyouxiang.net/