1. 首頁
  2. 問答
  3. 數據包嗅探Outlook - >使用MAPI交換

數據包嗅探Outlook - >使用MAPI交換

2017-01-03 20 views
1

我試圖實施數據包嗅探從Outlook客戶端到Exchange服務器的流量。就我所知,此通信通過HTTPS(任意位置的Outlook)使用MAPI。我不認爲我通過RPC使用MAPI。數據包嗅探Outlook - >使用MAPI交換

流量出現TLS,我可以在wireshark中解碼,因爲我已經加載了相應的證書。我無法查看我在測試期間發送的郵件的原始內容,但它仍然是編碼的。

如何解碼消息,以便我可以讀取純文本的原始內容?

我正在爲處理的每個流創建臨時文件,並將它們存儲爲unchunked和ssl解碼。下面的例子。如果我認爲說少文件,他們似乎是二進制的:

處理

DONE

X-開始時間:星期五,2016年12月16日23時17分12秒GMT

X- ElapsedTime:5

^@^@^@^@^@^@^@^@^@^@^@^@^@^B^@^@^@^@^@^E^@ < 9B>^B^A^E < 80> < 9F>^@^d^d^C^A^@^@^@^A^A^Ctestets)^ @小號^ @ Y 1 @^Q^@ H^@^V^@ p 1 @^@^A^@^Q^@^B^A^@^E^@^@^o^B^A ^C^@^@ 9^C^@ = O^C^@^E9^^@^X^@^X^@^@:^ C^@問:^ B^A^@^@爲^ U^d^A =^C^@^X^A^^ @ 8^@^X^@ X^@^A`^^@頻率^ A^A^d^@^@>^d ^ F^@^H^@^@^@^@/O = ExchangeLabs/OU〜^ @ Administra^@^@^@^@略去組(FYDIBOHF23SPDLT )/ CN =^@^@^@ Recipientsi^@ cfb4ddc8c1ba4733a3d23^@^@^@^@ 4e1321845da-shayne.civi^@小號^ @ H^@一個^ @ Y 1 @ X爲^ U^@ N^| E^@^@ C 1-4 @ I^@ v^X^@噸< 98>^7 R < 88>^@小號^ X^@^@(^ @^^A < 80>。^ @ C 1-4 @^^A^Q^@^@ < 9D> 0^@^@^^^^^^ܧ@ B^P^Z^H^@ +/< 82> *^K^@^@ O^GH < 9D>^d^d < 82>^A^@ < 80>^P^A^@@ < 87> ^沃頓^ @瓦特(^ @^@^ZD^@克(^ @)^ ATX^@ o^@ k^@ < 89> ^敖^ @米@^B?^ B^^A^M ^ M^A^@^P^@ &^_^ON < 98> H5^GZ]瓦特< 83>〜^ @^B^@^W^R^K5 ^柯^ C^F^M/8^@ =^| E^@ X < 88>^@ < 89>^BNZ^ALH^@ B8^A^@ú^ @i^@ A^@@ ^ Bm < 88>^Cn^X^@ s^Br^@ tX^@ v^@ Gx^@^ApX^@(^ @ F^@ Y^@ D^@ @ I^@乙^ @ o^@ BESC^EEHh^@ 2^@ 3X^GP < 98>^@ L^@ T^@)(^ CC8^B =^@ R 1 AI^Fp的^ X^@ < 99> ^的Et^B^@ C 1-4 @頻率< 88>^D4GU^CDX^@ 8^X^@ 1X^@一個< 88>^@ 7H^B3H^@ 3^@^B4^A18^@ 2 (^ @ 8H^@ 5^@一個^ @ - X^B^E < 8F>^A^@^@^P^@^@^g < 93> ^ W^@^Vs的升< 82>/< 8A> MR] O^SX^@^@^DUB^V^@^@^L^@^@^@^@^A^C^@^@^A^@^@^@^@

我已閱讀關於這些協議的所有文檔https://msdn.microsoft.com/en-us/library/cc425499(v=exchg.80).aspx我可以找到。

編輯:

與使用程序調用小提琴手的,它的辦公室督察,具體MAPIInspector,我能看到幾乎我所需要的所有信息。

https://github.com/OfficeDev/Office-Inspectors-for-Fiddler

我可以查看純文本:主題,收件人列表,發件人,附件文件名,文件附件內容以及更多,但我仍然無法找到該郵件的正文。

相信這個消息被保存在: ExecuteRequestBody-> ROPBuffer-> Payload-> ROPList-> ROPWriteStreamRequest->數據。

我相信ROPWriteStreamRequest是我所需要的。

內容被加密和/或混淆。我能夠找到XOR 0xA5 RPC的混淆算法,但我不確定這是在壓縮之前還是之後完成的。我懷疑壓縮算法是LZ77。

來源

2017-01-03 Civerooni

+0

您是否期望一些明文信息?我認爲這將不會因內部加密和壓縮而工作。 – BastianW

+0

如果信息已經通過https加密,我沒有看到需要進一步加密,但我並不是說不是這種情況,我不知道是什麼情況。如果是壓縮,那麼我想知道我必須使用什麼膨脹算法來獲取明文。 – Civerooni

+0

內容與傳輸加密如何?這是不一樣的... – BastianW

回答

1

ExecuteRequestBody-> ROPBuffer-> Payload-> ROPList-> ROPWriteStreamRequest-> Data保存附件內容。電子郵件內容存儲在RopSetPropertiesRequest-> PropertyValues->第11個TaggedPropertyValue(其屬性標記爲PidTagBodyHtml)中。內容是html格式。

來源

2017-08-02 10:18:47 Sara2017

相關問題

 相關問題