记一次HW的邮件保安所学

于 2022-08-30 13:17:52 发布
阅读量367 收藏 1
点赞数
分类专栏: HW 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50985113/article/details/126601736
版权

引子

本来我熟悉的是waf,但是被派到看邮件了,那就边看边学吧!

第一步

开局上个页面自动刷新脚本

var timeout = prompt("设置刷新时间间隔[S]");  
    var current = location.href;  
    if(timeout > 0)  
    {  
        setTimeout('reload()', 1000 * timeout);  
    }  
    else  
    {  
        location.replace(current);  
    }  

    function reload()  
    {  
        setTimeout('reload()', 1000 * timeout);  
        var fr4me = '<frameset cols=\'*\'>\n<frame src=\'' + current + '\' />';  
        fr4me += '</frameset>';  

        with(document)  
        {  
            write(fr4me);  
            void(close());  
        };  
    }

防守注意事项

1、注意封禁邮件的域名是否是大众域名或者大众IP,如qq、163或者公司的IP,防止大量误杀

如:163ip地址段

permit ip 123.58.177.0 0.0.0.255 any
permit ip 220.181.72.0 0.0.0.255 any
permit 115.236.118.0 0 0.0.0.255 any
permit 103.129.252.0 0 0.0.0.255 any
permit 106.2.83.0 0.0.0.255 any
permit 220.181.13.0 0.0.0.255 any
permit 220.181.15.0 0.0.0.255 any
permit 123.126.96.0 0.0.0.255 any
permit 103.74.27.0 0.0.0.255 any
permit 60.191.83.0 0.0.0.255 any
permit 220.194.24.0 0.0.0.255 any
permit 220.181.12.0 0.0.0.255 any
permit 123.126.97.0 0.0.0.255 any

2、如果有IP开放3333端口,可以推断,攻击者使用的是Gophish搭建钓鱼平台

其它端口:
8010 EwoMail

现有的防治方式(协议上的)

spf技术(对比发件IP)

用来探测该域名是否使用SPF策略,如果使用,收件方在查收邮件的时候,会对比spf.163.com中的IP,如果发件IP不在中间,则认为是伪造邮件

灵活使用nslookup来收集敏感信息

nslookup -type=txt 163.com //用来探测该域名是否使用SPF策略,如果使用,收件方在查收邮件的时候,会对比spf.163.com中的IP,如果发件IP不在中间,则认为是伪造邮件

服务器:  UnKnown
Address:  172.20.10.1

非权威应答:
163.com text =

        "qdx50vkxg6qpn3n1k6n1tg2syg5wp96y"
163.com text =

        "57c23e6c1ed24f219803362dadf8dea3"
163.com text =

        "facebook-domain-verification=kqgnezlldheaauy9huiesb3j2emhh3 "
163.com text =

        "google-site-verification=hRXfNWRtd9HKlh-ZBOuUgGrxBJh526R8Uygp0jEZ9wY"
163.com text =

        "v=spf1 include:spf.mail.163.com -all"

nslookup -type=txt a.spf.163.com //使用该命令可以查询163.com这个邮箱所有的IP段

服务器:  UnKnown
Address:  172.20.10.1

非权威应答:
a.spf.163.com   text =

        "v=spf1 ip4:123.58.177.0/24 ip4:103.74.28.0/24 ip4:115.236.118.0/24 ip4:115.236.121.128/26 ip4:115.236.127.0/24 ip4:123.58.178.0/24 ip4:220.194.24.0/24 ip4:59.111.176.0/24 ip4:101.71.155.0/24 ip4:45.254.49.0/24 ip4:103.74.31.0/24 -all"

nslookup -type=txt spf.163.com //用来查询spf协议下包含的对应域名

服务器:  UnKnown
Address:  172.20.10.1

非权威应答:
spf.163.com     text =

        "v=spf1 include:a.spf.163.com include:b.spf.163.com include:c.spf.163.com include:d.spf.163.com include:wm.spf.netease.com -all"

DKIM(秘钥技术)

DKIM是一种在邮件中嵌入数字签名的技术,DKIM签名会对邮件中的部分内容进行HASH计算,最后在邮件头中增加一个DKIM-Signature头用于记录签名后的HASH值,接收方接收到邮件后,通过DNS查询得到公开密钥后进行验证, 验证不通过,则认为是垃圾邮件。
那么我们如何获取到发件方的DKIM的密钥呢?在DKIM中有一个选择器(selector)的概念,通过此功能可以为不同的用户提供不同的签名,想要找到发件方的DKIM服务器,首先需要找到selector,在邮件的DKIM头中,s字段的值即为DKIM的selector,获取到selector后,我们就可以在如下域名中找到密钥。

查看秘钥
在这里插入图片描述

格式为:
selector._domainkey.xxxxxxxx.com
邮件中是字段 同上 域名

以阿里的为例子,s后面的内容就是selector的值

拼接完成后可以使用一下命令获得key

nslookup -type=txt s1024._domainkey.aliyun.com

服务器:  UnKnown
Address:  172.20.10.1

非权威应答:
s1024._domainkey.aliyun.com     text =

        "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDFwkfoN5eNZh2nx1qMTAyfYPhG5RfpjSng5aNh6JL6MTa2BABnD+05xZ3o7j9nT7CoVLVL2mEzj12foAG4J23qnCDf3h32lmZSLTs3sZsWFzwFSMKAXjNH3OCV4MFc72BCLy+gv81wFwsmcHInOZ4tMiw5jG4B683P/1KbeKbeswIDAQAB; n=A 1024 bit key;"

DMARC

DMARC是基于SPF和DKIM协议的可扩展电子邮件认证协议,通常情况下,它与SPF或DKIM结合使用,并告知收件方服务器当未通过SPF或 DKIM检测时该如何处理。
以阿里云为例,获取_dmarc.aliyun.com的txt记录即可获取DMARC策略。

>nslookup -type=txt  _dmarc.aliyun.com
服务器:  UnKnown
Address:  172.20.10.1

非权威应答:
_dmarc.aliyun.com       text =

        "v=DMARC1; p=quarantine; pct=5;rua=mailto:dmarc@service.aliyun.com;"

v=DMARC1:版本
p=:接收者根据域名所有者的要求制定的策略,取值和含义如下:

none不采取特定措施
quarantine邮件接收者将DMARC验证失败的邮件标记为可疑的。
reject域名所有者希望邮件接收者将DMARC验证失败的邮件拒绝

pct=:域名所有者邮件流中应用DMARC策略的消息百分比。
rua=:用于接收消息反馈的邮箱。

钓鱼邮件的(业务上)防护手段

	1、可以封禁出口IP或者域名(如果钓鱼链接是域名的话,可以使用nslookup来获取IP地址,最后封禁源IP);能有效的阻止内网的访问。(但是外网阻止不了,当用户处于外地办公环境时,容易产生隐患)

	2、如果遇到批量邮箱爆破,而源IP和域名都不同的情况下,可以尝试在邮件网关上使用关键字匹配的操作,来起到阻拦作用。
阿文、...
关注
专栏目录
一次HW实战笔 _ 艰难的提权爬坑1
08-03
在本文中,我们将深入探讨一次HW实战中的提权攻防过程,主要涉及SQL数据库、Windows系统漏洞利用、网络协议和安全工具的运用。首先,实战起始于一个已知的SQL Server 2008数据库注入点,攻击者借此获得了网站的...
默认服务器:UnKnown
weixin_34289744的博客
11-14 2479
在主配置文件中新建正向反向区域: zone "huying.com"IN{ type forward; file"huying.com.zone"; } zone "13.168.192.in-addr.arpa"IN{ type forward; file"huying.com.rec"; } 在正向区域文件huying.c...
命令查看spf_SPF录及其配置方法
weixin_39864453的博客
12-22 1699
SPF录及其配置方法SPF录,简单来说就是发信IP的验证:检查发信的IP是否在其公布的IP名单里,如果不在,说明是伪造邮件,可以直接拒收。SPF是为了防范垃圾邮件而提出来的一种DNS录类型,它的内容写在DNS的txt类型录里面。SPF的原理是使用电子邮件头部信息中的相关域名信息,结合真正提供这个邮件的服务商DNS里面的录,去验证发送邮件服务器是否属于冒充行为。按照SPF的格式在DNS录...
利用nslookup命令查看MX录、A录、CNAME录和NS
weixin_34220623的博客
11-23 726
以Windows为例,应用nslookup命令: 其中“Default Server”和“Address”是当前上网所用的DNS服务器域名和地址。“>”是nslookup的提示符。在提示符下输入“?”和回车,可看到nslookup的帮助信息,输入“exit”和回车可退出nslookup。此时,在提示符下直接输入域名,可查...
命令查看spf_什么是SPF、邮箱域名SPF录查询方法
weixin_39877581的博客
12-22 3003
新闻资讯您的位置: 首页> 新闻资讯什么是SPF、邮箱域名SPF录查询方法发布时间:2019-04-28SPF(Sender Policy Framework) 是电子邮件系统中发送方策略框架的缩写,它的内容写在DNS的txt类型的录里面;作用是防止别人伪造你的邮件地址进行发信,是一中非常高效的反垃圾邮件解决方案。例如:当网易企业邮箱的邮件服务器收到自称发件人是xiaoyi@xxx.co...
应用nslookup命令查看A录、MX录、CNAME录和NS
03-01 2023
应用nslookup命令查看A录、MX录、CNAME录和NS录 以Windows为例,应用nslookup命令:      其中“Default Server”和“Address”是当前上网所用的DNS服务器域名和地址。“>”是nslookup的提示符。在提示符下输入“?”和回车,可看到nslookup的帮助信息,输入“exit”和回车可退出nslookup。此时,在提示符
HW弹药3】全纪实:看一次HW攻击发起的全过程.pptx
03-08
基于案例讲解HW攻击发起的全过程,攻击流程,攻击思路,攻击案例等
形态学处理图像分割hw5.zip
05-07
在图像处理领域,形态学处理和图像分割是两个至关重要的技术。形态学处理主要用于去除噪声、连接断开的线条、填充孔洞等,而图像分割则是将图像划分成多个具有不同特征的区域,有助于我们更好地理解和分析图像内容。...
HW总结模板一.doc
最新发布
08-23
护网HW工作总结报告
[ 攻防演练 ] 最新HW防守方学习资料合集.rar
02-11
[ 攻防演练 ] 最新HW防守方学习资料合集 包含如下文件 “护网2019”防守应对手册 2019年护网行动必备防御手册 2020安全漏洞年报 2021实战攻防企业红蓝对抗实践指南-长亭 ...一次攻防实战演习复盘总结
邮件服务器DNS设置-----MX、SPF、DKIM录详解
热门推荐
mal327的专栏
08-19 7万+
邮件服务器的DNS设置 DNS录,需要你到你的域名托管商那里进行设置或者你自己管理DNS服务器。不少域名托管商不支持txt录或者不支持DKIM录,所以你就无法使用SPF和DKIM的功能。 DNS的修改,需要48小时以上才能生效。 国内的万网是不支持DKIM,目前新
nslookup 非权威应答 权威服务器 权威应答
weixin_34161083的博客
02-06 2750
在用 nslookup 查询一个域名时,可能会看到有“非权威应答” 的提示,该提示表示你所查询的域名不使用你当前所用的 DNS 查询服务器上。下面使用 nslookup 来测试上述过程。C:\Users\Administrator>nslookup默认服务器: UnKnownAddress: 192.168.1.1 上面直接键入 nslookup 命令,“默认服务器...
邮件服务器设置 rDNS、MX、SPF、DKIM 等DNS
虎猫
09-26 3474
https://www.v2ex.com/t/161912 https://wenku.baidu.com/view/2fc57b55f01dc281e53af024.html https://www.douban.com/group/topic/83569978/ http://service.oray.com/question/204.html http://www.renfei.or...
DMARC 简介
GitChat
11-04 716
DMARC 是实现电子邮件认证的标准。本文介绍如何实现 DMARC。
添加域名并配置SPF、MX、DKIM、DMARC
weixin_43078114的博客
06-28 6209
背景 使用第三方邮件发送平台发送邮件,新建域名时要求配置SPF、MX、DKIM、DMARC录。第一次听说这几个录,在配置上走了一些弯路,网上这方面的资料很少,特意录一下,梳理一下整个配置的过程,也方便大家少走一些弯路。 1.概念 SPF:为了防范垃圾邮件而提出来的一种 DNS 录类型, 用于登某个域名拥有的外发邮件的所有 IP 地址 MX:邮件交换录, 它指向一个邮件服务器, ...
spf、dkim、dmarc介绍与邮件伪造研究
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件
DMARC
weixin_44669829的博客
11-01 1104
DMARC 就等于 SPF + DKIM 先来看DMARC的
SPF
weixin_33806914的博客
10-09 117
在反垃圾邮件问题中有时会遇到SPF的问题,在处理SPF问题的过程中首先要搞清楚两个问题;一、SPF的作用 二、如何注册SPF录 一、SPF的作用 SPF录可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案,当你定义了你的域名的SPF录之后,接收邮件方会根据你的SPF录来确定连接过来的IP地址是否被包含在SPF录里面,如果在,则认为是一封正确的邮件,否则则认...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8499
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值