0x00 安装:
kali中自带,或者从作者网页下载
http://www.jetmore.org/john/code/swaks/
0x01 基本用法:
swaks –to <要测试的邮箱> 用来测试邮箱的连通性
前面都返回250ok,说明该邮箱存在,并且可以正常收信。最后可以看到qq邮箱返回550错误,qq官方给出的出错原因:该邮件内容涉嫌大量群发,并且被多数用户投诉为垃圾邮件。
我们可以继续对邮件进行伪造,来绕过qq邮箱的判断
比如:
swaks --body "test" --header "Subject:testT" -t [email protected] -f [email protected]
swaks --to [email protected] --from info@freebuf.com --ehlo freebuf.com --body hello --header "Subject: hello"
其中:
--from <要显示的发件人邮箱>
--ehlo <伪造的邮件ehlo头>
--body <邮件正文>
--header <邮件头信息,subject为邮件标题>
--data <源邮件>
0x02 高级用法:
使用swaks其实还可以进行更高级的邮件伪造,几乎可以伪造邮件中的每一个参数。
首先,我们需要一份正常的邮件
点击显示邮件原文,把原文复制出来,保存为email.txt
其中的received可以都删除,该项为接收信息,发信中不需要。to项也可以删除,可以直接用swaks --to来代替。
注意不要忘了加--from 否则qq邮箱会报由kali代发……
swaks --data ./Desktop/email.txt --to [email protected] --from [email protected]
发送成功,qq邮箱没报垃圾邮件,也没报有害。
注意在发送的时候没有加--from参数,因为在测试中我发现收到邮件时,邮件内容与文件内容显示完全一样,与参数无关
这里能看到,收件人和发件人都不是靠--to和—from,这里应该需要修改文本的内容,达到隐藏效果
这里略作修改,成功伪造了邮箱,
在测试中,我修改了时间,但事实证明时间是不能被指定的,
这里还有很多地方可以伪造,十分钟邮箱不显示,就没有继续测试。
邮件伪造结合钓鱼网站,免杀程序,在加上一点社工技巧,是比较主动的APT攻击方式,需要多加注意。
0x04 解决办法:
遇到可疑邮件要查看源邮件,判断发信人ip是否为可信任的ip。
0x05 10分钟邮箱:
http://24mail.chacuo.net/ 不可接收附件(txt)
https://10minutemail.net/ 可接收附件(eml后缀)
http://www.linshiyouxiang.net/