本文首发于 I春秋
起因:
由于红队工作的原因,我们需要不定期对公司内部的设备及人员发起攻击,但是常规的WEB攻击或者系统服务攻击,并不能完整的模拟出外部的威胁。所以在这段时间,我也就研究了一下邮件伪造技术。(当然本文中的伪造肯定不同于常规的伪造)。
在讨论邮件伪造的主题之前,我们先来简单了解一下这几个协议(POP3,IMAP,SMTP)与SPF。
1.POP3:
POP3即“Post Office Protocol - Version 3”,其作用是客户端连接服务器下载服务器中所有未阅读的邮件。
2.IMAP:
IMAP即“Internet Mail Access Protocol”,它不同于POP3,POP3协议并不会将客户端对邮件进行的操作同步至服务器。当使用IMAP协议与邮件服务器交互的时候,你在客户端对邮件进行的操作都会同步到服务器上,所以IMAP也叫做交互式邮件存取协议。
3.SMTP
SMTP协议即“Simple Mail Transfer Protocol”简单邮件传输协议。它是用于从源地址到目标地址传输邮件的规范。通过该协议来控制邮件的中转。而我们常用的邮件供应商所提供的邮件服务,基本都是采用的SMTP协议进行传输。
SMTP协议同时也要求了客户端连接服务器需要进行认证(如果允许匿名登录那就另当别论了)。但是它也仅仅只要求了客户端需要与服务端进行认证。而SMTP服务器之间传输邮件的过程是不需要进行认证的。这也就是邮件伪造的关键点所在。
4.SPF
SPF即“Sender Policy Framework”是一种以IP地址认证电子邮件发件人身份的技术。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件,否则会认为是一封伪造的邮件进行退回。
SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你域名的SPF记录之后, 接收邮件方会根据你的SPF记录来确定连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。
传统的邮件伪造
当我们在进行邮件伪造的时候,一般都会去查询对应域名的SPF记录,如下腾讯便使用了SPF技术:
基本上现在很难有看到没有使用SPF的大厂域名了。当我们伪造邮件的时候,如果域名有设置SPF,那么我们基本就很难进行传统的伪造了。
但是优良传统不能忘,这里我还是得举个使用Swaks进行邮件伪造的例子。(公司内部邮箱)
关于Swaks的具体用法请自行百度。毕竟它不是本文的关键。
这里我已经收到了邮件,但是其在邮件中提示了SPF Failed,这就是虽然我们公司做了SPF,但是其规则存在问题,所以会出现拦截失败的状况。但是这种拦截失败的提示对于财务,人力等非技术人员来说可能并不会注意,但是对于技术人员来说当收到这种邮件的时候,肯定会起疑。所以我们在进行红队钓鱼工作的时候,可以有针对性的对特定目标进行钓鱼。
非传统性邮件伪造(基于客户端漏洞的伪造),以腾讯邮箱为例
首先,我们知道,腾讯邮箱是做了SPF策略的。当我们使用Swaks去伪造管理员用户的时候,是无法伪造成功的。如下,550错误
但是这样我们是否就无法进行伪造了?当然可以继续伪造,不过我们需要使用的方法不同而已。
首先我们需要知道,SMTP协议发送邮件的时候,是使用Mail From来指定发件人,但同时需要我们知道的还有一点即(发件人别名),这个是我们可以自定义的,那么这个时候我们来大胆猜测一下。发件人别名有什么用?而邮件客户端是如何去对它进行处理的。因此我对QQ邮箱进行了FUZZ测试。测试结果如下图所示:
可以看到我收到了以[email protected]为发件人发送的邮件。这个时候我在给你们看看邮件原文,你们应该就知道这是为什么了。
其实就是我通过修改“发件人别名”在其中填充大量的特殊字符,从而使邮箱客户端截取实际发件人失败,导致实际显示效果为我们伪造的邮箱及发件人。
以下为发件人别名payload,当然也可以自己写个SMTP脚本进行测试。脚本我已经写好了,但是敏感时期就不发了。大家可以使用outlook进行测试。
管理员 ··· ···
最后
经过测试,并非只有腾讯邮箱存在这样的问题,各个邮件厂商都或多或少的存在问题,同时我也将这个问题提交给了腾讯SRC,但是他们的回复是这是符合RFC标准和协议的伪造场景。SO,我也就没什么好说的了。但好在这次研究中也发现了一些Outlook与Exchange的问题。
最后放上一张图,不知道这算不算邮件伪造成功或者伪造漏洞?
最后最后:
以上利用点仅用于研究,或红队公司内部任务使用,切勿用于非法用途,望周知!