[ 钓鱼实战系列-基础篇-4 ] 一篇文章教会你用红队思维收集目标邮箱信息-1（附邮箱收集自动化脚本）

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！
网络钓鱼不仅是一种网络攻击技术同时也是一项最常见的社会工程技术，更是红队选手和网络犯罪分子的惯用伎俩。
本文我们探讨收集目标邮箱的方式。

1.4.1 Email信息收集

信息收集可以说是在渗透测试中最重要的一部分，上文对 UserInfo 信息收集做了一个简要的叙述，了解的 UserInfo 常用的搜索引擎。认识了 Google 黑客以及相关语法，也对 FOFA 网络空间搜索引擎使用有了一个简单的认识。这篇文章主要是对 Email 信息收集的方法做一个记录，同时 Email 信息收集也是渗透测试中的重要一环。

1.4.1.1 收集思路

通过说明文档以及网站页面收集：网页可下载的文档
网站发表者以及留言板信息处收集账号：网页的展示信息
通过 teemo，metago，burpusit，awvs，netspker 或者 google 语法收集
搜索相关 QQ 群、论坛、社区、领英、脉脉、招聘网站等收集相关企业员工的社交账号
有的人员会自己用自己名称作为自己的邮箱账号

1.4.1.2 snov

可收集大量邮箱信息，极少数有有员工的姓名、职位、性别、联系电话

https://app.snov.io

注册需要企业邮箱，大部分十分钟邮箱目前已被列进黑名单，可用谷歌账号登录，查询企业邮箱信息，一个账号50次查询机会，有几个可用十分钟邮箱一直注册查询。
参考介绍：https://cn-sec.com/archives/396926.html

1.4.1.3 Hunter

https://hunter.io/search/		

Hunter还是非常不错的，Hunter 可让你在几秒钟内找到专业的电子邮件地址，并与重要的人联系。
我们可以通过使用 Hunter 去收集一个网站的电子邮件信息，可以使用插件更便捷的搜索。或者直接访问 Hunter 的官方网址，在搜索栏中搜索。也可以点击查看来源，查看到邮箱地址的来源。来源地址就可以成为 Email 信息收集的一个方向，从这一个点出发，扩散到一个面，进行渗透测试。

1.4.1.4 Skymem

https://www.skymem.info/

获取数量少，准确度较高。Skymem 是帮助您找到任何专业人士、个人或公司的电子邮件地址的网站。 我们从网络上收集和组织电子邮件地址。
比如说，我们现在拿到一个网站，需要对其进行渗透测试。（注意，对一个网站渗透测试需要得到网站建设者的授权，不得未经授权对其进行渗透测试。）我们可以通过使用 Skymem 来帮助我们对目标站点进行邮箱信息收集，收集到网站站点的邮箱。

1.4.1.5 Email-format

https://www.email-format.com/i/search/

我们的目标是将公司网络和电子邮件地址上的公开信息汇集在一起 在某种程度上，使这些数据更有用。通过梳理公共资源，我们公开识别 可见的电子邮件地址，并以前所未有的方式汇总此信息订阅服务。我们感到自豪的是，我们的信息始终来自搜索引擎和其他来源 一般网站。垃圾邮件是一个非常现实的问题，我们不会通过暴露新地址来做出贡献 用于潜在的垃圾邮件发送者访问。

1.4.1.6 TheHarvester

https://github.com/laramies/theHarvester

TheHarvester工具介绍

TheHarvester 工具是一款被动收集工具，可以有效地提高后期渗透测试的成功率。 此工具是由 Python 开发的。它为我们提供来自不同公共来源（如搜索引擎和 PGP 密钥服务器）的电子邮件帐户、用户名和主机名/子域的信息。
参考介绍：https://blog.csdn.net/weixin_42250835/article/details/115269149

TheHarvester工具参数

python theHarvester.py --help
-d，--domain            要搜索的公司名称或域名。
-l,    --limit                 限制搜索结果的数量，默认=500。
-S,  --start                 从结果编号 X 开始，默认 = 0。
-p,  --proxies            对请求使用代理，在 proxies.yaml 中输入代理。
-s,  --shodan            使用 Shodan 查询发现的主机。
--screenshot            对已解析的域进行截图，指定输出目录：--screenshot output_directory
-v,  --virtual-host      通过 DNS 解析验证主机名并搜索虚拟主机。
-e, --dns-server       用于查找的 DNS 服务器。
-f，--filename          将结果保存到 XML 和 JSON 文件。
-b, --source             指定搜索的引擎和数据源

TheHarvester工具使用

python theHarvester.py -d 7k7k.cn -l 500 -b baidu

1.4.1.7 SimplySecurity

https://github.com/SimplySecurity/SimplyEmail

1.4.1.8 7K邮箱收集工具

7K邮箱收集工具（仅限win7）

1.4.1.9搜索引擎语法查询

谷歌语法

site: xx.com && intext:@xxx.com
site: xx.com && related:邮件/email

这条命令是用于在搜索引擎中进行高级搜索的查询语句。它的作用是在指定的网站（xx.com）上搜索包含特定关键词（@xxx.com）的相关结果，并且与邮件/email相关。

具体解释如下：

site: xx.com：这个部分指定了要搜索的网站范围，即只在xx.com网站上进行搜索。
intext: @xxx.com：这个部分指定了要在搜索结果中查找包含特定关键词的内容，即包含"@xxx.com"的文本。
related: 邮件/email：这个部分指定了搜索结果与邮件/email相关。

1.4.1.10 邮箱爆破

1.爆破姿势

对网页版的邮箱登录处进行爆破
对邮箱的端口号进行爆破
SMTP默认端口是25
POP3默认端口是110
IMAP默认端口是143

2.字典组合

员工名称+日期
日期+公司名
员工名称+公司名
passwd+日期
P@sswd!+日期
......

字典
https://github.com/rootphantomer/Blasting_dictionary
https://github.com/TheKingOfDuck/fuzzDicts

3.爆破工具

1.burp

Intruder 模块

2.hydra(九头蛇)

hydra（九头蛇爆破工具）_黑锤的博客-CSDN博客_九头蛇爆破
不加密：hydra -l username -p passord mail_protocol://ip
SARTTLS 加密：hydra -l username -p password mail_protocol://ip/SSL
TLS加密：hydra -l username -p password mail_protocols://ip

3.medusa(美杜莎)

SARTTLS 加密：medusa -u username -p password -M mail_protocol -h ip
TLS加密：medusa -u username -p password -M mail_protocol -h ip -s

4.Burst

https://github.com/grayddq/EBurst

GitHub - grayddq/EBurst: 这个脚本主要提供对Exchange邮件服务器的账户爆破功能，集成了现有主流接口的爆破方式。
5.GoMapEnum

https://github.com/abice/go-enum

GitHub - nodauf/GoMapEnum: User enumeration and password bruteforce on Azure, ADFS, OWA, O365, Teams and gather emails on Linkedin
6.pop3_crack 邮箱爆破

https://github.com/AdministratorGithub/pop3_crack

7.协议爆破

https://hjyapple.github.io/2019/07/04/关于SMTP服务的渗透测试/

1.4.1.11 其他手段

1.Intelligence

https://intelx.io/login

获取数量多–需要自己验证是否正确
2.SignalHire

https://www.signalhire.com

很不错，主要用于国外。
3.rocketreach

https://rocketreach.com

有员工的姓名、职位、性别、联系电话。注册需要企业邮箱，十分钟邮箱目前已被列进黑名单，谷歌登录需要验证绑定手机号码，新用户每个月只有5次查询机会，没查询到准确信息不扣除查询次数。

4.apollo
```bash
https://app.apollo.io

5.contactout

https://contactout.com

6.datanyze

https://www.datanyze.com

7.curl

curl -s "https://www.example.com" | grep -oP '(?<=@aaa\.com)'

1.4.2验证邮箱是否真实存在：

1.4.2.1 mail-verifier 邮箱侦探

https://www.mail-verifier.com/

1.4.2.2 Tzeross/verifyemail:

https://github.com/Tzeross/verifyemail

Python在线验证邮箱真实性，支持批量验证，支持全部域名邮箱，支持全部域名邮箱，支持全部域名邮箱，支持全部域名邮箱

1.4.3 查找邮件服务器

1.4.3.1 命令查询

nslookup -q=mx 目标域名

nslookup -q=mx qq.com 是一个用于查询邮件交换（MX）记录的命令。MX记录是用于指定接收电子邮件的服务器地址。
nslookup 是一个用于查询DNS（域名系统）信息的命令行工具。
-q=mx 参数表示查询类型为邮件交换（MX）。
qq.com 是要查询的目标域名。

1.4.3.2 搜索引擎语法查询

谷歌语法

site: xx.com && intext:@xxx.com
site: xx.com && related:邮件/email

1.4.3.3 子域名查询

https://zhuanlan.zhihu.com/p/106705198

1.4.3.4 网站查询

https://dnsdumpster.com
https://dnsspy.io
https://www.whoisxmlapi.com

1.4.3.5 邮件服务器常见子域名

mx
mail
webmail
web.mail
mymail
webdisk
cpanel
exim
mail.owa
mailcow
owa.域名
OA
owa
occ
test
p3p
email
exim
域名-hq-owa
域名
emailsec
outlook
mx1emailsec
autodiscover
cpcalendars
cpcontacts
partner
smtp
smtp1
smtp2

相关资源

[ 提升篇 ] 钓鱼实战系列
[ 钓鱼实战系列-基础篇-4 ] 一篇文章教会你用红队思维收集目标邮箱信息-2（附邮箱收集自动化脚本）