网络空间安全概论 实验6 网络监听实验样例4

六、qq邮件登录信息抓取：

1.QQ邮箱是网址是基于HTTPS协议的

HTTPS(HypertextTransferProtocoloverSecureSocketLayer)能够加密信息,由

HTTP+TLS/SSL组成，在原本的HTTP协议上增加了一层加密信息模块，服务端和

客户端的信息传输都要经过TLS进行加密，所以传输的数据都是加密后的数据。

2.TLS/SSL简介

TLS/SSL具体过程如下图：

ClientHello-------->

ServerHello

Certificate

<--------ServerHelloDone

ClientKeyExchange

[ChangecipherSpec]

Finished-------->

[ChangecipherSpec]

<--------Finished

ApplicationData<------->ApplicationData

图3.23

握手过程：

1.初始化阶段。客户端创建随机数，发送ClientHello将随机数连同自己支持的协

议版本、加密算法发送给服务器。服务器回复ServerHello将自己生.成的随机数

连同选择的协议版本、加密算法给客户端。

2.认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客

户端(Certificate),并请求客户端的证书(Cert讦icateRequest)。

3.密钥协商阶段。客户端验证证书，如果收到CertificateRequest则发送包含自己

公钥的证书，同时对此前所有握手消息进行散列运算.并使用加密算法进行加密

发送给服务器。同时，创建随机数pre-master-secret并使用服务器公钥进行加密

发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务

器和客户端利用第一阶段的随机数，能够计算得出master-secreto

4.握手终止。服务器和客户端分别通过ChangeCipherSpec消息使用master-secret

对连接进行加密和解密，以及向对方发送终止消息(Finished)。

抓包过程：

1、首先先确定自己的IP：

无线局域网适配器WLAX:

连接特定的DNS后缀.............：

本地链接IPv6地址...............：fe80::ec05:9914:f392:a558%4

IPv4地址........................：10.101.198.147

子网掩码........................：

默认网关..........................：10.101.0.1

图3.24

1、接下来进行抓包。并使用ssl进行过滤，同时登录qq邮箱。

im»i__________________________________________T+,

：Xb.TineSourceDestinationProtocolLentInfo

40.020290101.198.1477TLSV1.25-ClientHello

60.038106747TLSvl.21..ServerHello,ChangeCipherSpec,Encr

7038385477TLSvl.21^.ChangeCipherSpec,EncryptedHandsha(C

80.038601477TLSvl.2ApplicationData

130.4850309010,101.198.147TLSvl.286ApplicationData

140.4867094790TLSvl.290ApplicationData

271.44279410.101・198,1479TLSvl.23^ClientHello

301.460297910・101・198.147TLSvl.2ServerHello

321.460297101.91.6€.4947TLSvl.25^.Certificate.ServerKevExchan(?e.Sen*

<>

图3.25

2、对抓取的数据包进行分析：

首先分析ClientHello

TLS握手过程的第一步就是客户端发起请求，主要包括了客户端生成的随机字符

串(sessionkey),还包含了客户端所支持所支持的加密套件列表、随机数等信息。

“TLSvl.2RecordLayer:HandshakeProtocol:ClientHello

ContentType:Handshake(22)协议名称

Version:TLS1.0(0x0301)

Length:512

*HandshakeProtocol:ClientHello

HandshakeType:ClientHello

Length:508:版本号/随机数据

Version:TLS1.2(0x0303)

*Random:52a55c8eff07dc2119dbfbc57230ae0ee0857579ef4997aeabb2993d88b7fedl

GMTUnixTime：Dec9,201314:00:46,0000€0000中国标准时间

RandomBytes:ff07dc2119dbfbc57230ae0ee0857579ef4997aeabb2993d88b7fedl

SessionIDLength:32

SessionID:330ade24cdl4f4ea7e6c51df84e66db9d6ce69428e5d3a7fc510627149f4fdc2

CipherSuitesLength:32

▼CipherSuites(16suites)

图3.26

flT^T

CipherSuitesLength:32

*CipherSuites(16suites)

CipherSuite:Reserved(GREASE)(Oxlala)

CipherSuite:TLS_AE>_128_GCM_SHA256(0X1301)

CipherSuite:TLS_AE5_256_GCM_SHA384(0x1302)

CipherSuite:TLS_CHM：HA20_POLY1305_SHA256(0x1303)

CipherSuite:TLS_EC0HE_ECDSA_WITH_AES_128_GCM_SHA256(0XC«2b)

CipherSuite:TLS_EC0HE.RSA_WITH.AES_128.GCM_SHA2S6(Oxce2f)古土主的力口宓笛：士gR府上

CipherSuite:TLS」C0HE_ECDSA_WITH_AES_256_GCM_SHA384(exce2c)><JXjDulj/"/有+上JI十

CipherSuite:TLS_EC0HE_RSA_WITH_AES_256_GCM_SHA384(0xce3O)

CipherSuite：TLS_ECOHE_ECDSA_WITH_CHACHA20_POLY13e5_SHA256(0xcca9)

CipherSuite:TLS.ECOHE_RSA_WITH_CHACHA20_POLY1305_SHA256(0xcca8)

CipherSuite:TLS_EC0HE_RSA_WITH_AES.128_CBC_.SHA(0xc013)

CipherSuite：TLS_EC0HE_RSA_WITH_AES_2S6_CBC_SHA(0XC014)

CipherSuite:TLS_RSA_WITH_AES_128_GCM_SHA256(0x009c)

图3.28

再分析ServerHello

服务器收到客户端的ClientHello数据包之后,根据客户端发来的加密套件列表，

选择一个加密套件，也生成一个随机字符串返回给客户端。密钥交换算法选择的

是使用ECDHE_RSA,对称加密算法使用AES_128_GCM_SHA256：

▼HandshakeProtocol:ServerHello

HandshakeType:ServerHello(2)

Length:77

Version:TLS1.2(0x0303)随机数据

“Random:622478d7273095edb70ad549e2522d3e43d0704e4eaa8d86a23a8bblf0099669

GMTUnixTime:Mar6,202217:03:19.000000000中国标准时间/

RandomBytes:273095edb70ad549e2522d3e43d0704e4eaa8d86a23a8bblf0099669

SessionIDLength:32

SessionID:330ade24cdl4f4ea7e6c51df84e66db9d6ce69428e5d3a7fc510627149f4fdc2

Ci•pherSuite:TLSECDaH*ER■S■■AWITHAES128GCMSHA256(0xc02»f)

CompressionMethod:null(0)

ExtensionsLength:5加密算法组件

Extension:renegotiation_info(len=l)

图3.29

分析Certificate&ServerKeyExchange&ServerHelloDone

服务器把certificate发给客户端。

271.44279410.101.198.147101.91.60.49TLSvl.23-ClientHello

301.460297101.91.60.4910.101.198.147TLSvl.21_ServerHello

321.460297181.91.60.4910.101.198.147TLSvl.25...Certificate,ServerKeyExchange,Server-

341.46475010.101.198.147101.91.60.49TLSvl.21~.ClientKeyExchange,ChangeCipherSpec,_

381.481672101.91.60.491O,101.198.147TLSvl.23„.NewSessionTicket,ChangeCipherSpec,-

*TransportLayerSecurity

*TLSvl.2RecordLayer:HandshakeProtocol:Certificate

ContentType:Handshake(22)

Version:TLS1.2(0x0303)

Length:2997

*HandshakeProtocol:Certificate

HandshakeType:Certificate(11)

length:2993

Certificateslength:2990

…,黑黑黑个黑黑2服务器返回给客户端自己的证书信息

>Certificate：3082069830820580a00302010202100f2ael8abfl672278d8735c986008ba7300d06092a-(id-at-COiwnonNai

CertificateLength:1292

>Certificate:33820566308203f006c9351ae6f0ac6ebO06fbec2aa73241300do6092a_(id-at-comonNai

图3.30

服务器返回ServerKeyExchange数据包，用于和客户端交换用于数据加密的密钥，

ServerHelloDone用于通知客户端已经发送用于密钥交换的数据等待客户端响应。

TransportLayerSecurity

*TLSvl.2RecordLayer:ApplicationDataProtocol:http-over-tls

ContentType:ApplicationData(23)

Version:TLS1.2(6x0303)/加密后的数据

Length:846

EncryptedApplicationData:O0000000000000011bel5d39c7cf915dl90ecc83dc2d9b7ff86860b7cf2ab56a8983cb25^

[ApplicationDataProtocol:http-over-tls]

图3.35

当然我们也可以获取到一些时间信息:

▼Interfaceid:0(\Device\NPF_{142B7B09-BBE6-4248-B205-D0662694A136})

Interfacename:\Device\NPF_{142B7B09-BBE6-4248-B205-D0662694A136}

Interfacedescription:WLAN

Encapsulationtype:Ethernet(1)发送时间

ArrivalTime：Apr26,202222:58:05.193969000中国标准时间

[Timeshiftforthispacket:0.000000000seconds]

EpochTime:1650985085.193969000seconds

[Timedeltafrompreviouscapturedframe:0.000216000seconds]

[Timedeltafrompreviousdisplayedframe:0.000216000seconds]

[Timesincereferenceorfirstframe:0.038601000seconds]

FrameNumber:8

FrameLength:90Sbytes(7240bits)

CaptureLength:965bytes(7240bits)

图3.36

七、利用foxmail获取邮件发送信息：

首先了解一下什么是smtp：

SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传

输服务上的一种邮件服务，主要用于系统之间的邮件信息传递，并提供有关来信

的通知。SMTP独立于特定的传输子系统，且只需要可靠有序的数据流信道支持，

SMTP的重要特性之一是其能跨越网络传输邮件，即“SMTP邮件中继〃。使用SMTP,

可实现相同网络处理进程之间的邮件传输，也可通过中继器或网关实现某处理进

程与其他网络之间的邮件传输。

SMTP是一组用于从源地址到目的地址传送邮件的规则，并且控制信件的中转方

式。SMTP协议属于TCP/IP协议族，它帮助每台计算机在发送或中转信件时找

到下一个目的地。通过SMTP协议所指定的服务器，我们就可以把E—mail寄到

收信人的服务器上了，整个过程只需要几分钟。SMTP服务器是遵循SMTP协议

的发送邮件服务器，用来发送或中转用户发出的电子邮件。

SMTP协议的工作过程可分为如下3个过程：

⑴建立连接：在这一阶段，SMTP客户请求与服务器的25端口建立一个TCP连

接°一日连接建立.SMTP服务器和客户就开始相互通告自己的域名,同时确认

对方的域名。

⑵邮件传送：利用命令，SMTP客户将邮件的源地址、目的地址和邮件的具体内

容传递给SMTP服务器，SMTP服务器进行相应的响应并接收邮件。

⑶连接释放：SMTP客户发出退出命令，服务器在处理命令后进行响应，随后关

闭TCP连接。

首先我们打开邮件的IMAP服务：

设置->账号

P0P3/SMTP服务（如何使用Foxmail等软件收发邮件？）已开启1关闭

IMAP/SMTP服务（什么是IMAP,它又是如何设置？）已开启1关闭

Exchange服务（什么是Exchange,它又是如何设置？）已开启1关闭

CardDAV/CalDAV服务（什么是CardDAV/CalDAV,它又是如何设亘？）已关闭1开启

（POP3/IMAP/SMTP/CardDAV/CalDAV服务均支持SSLjg接.如何设置？）

图3.37

在foxmile中取消勾选ssl：

账号管理中：

邮箱类型：IMAP

g----------------取消勾选-----

帐京xixi530chen@

收件服务器：端口:143

发件服务器：@SS1端口：25

匚如果服务器支持，就使用STARTTIS加密传输⑴

本地备份：服务器删除邮件后，本地保留

图338

然后号二封邮件，先不要发送：

xixi530chen@

发给1227674132

xixi530chen@

Iamliuchenxi08192876

图3.39

用wireshake进行抓包:

用smtp进行过滤：

捕分析＜计电话秘

8ttt（G）A)(S)(Y)W()TR(T)186)(■

■同@Dcq0疝茎¥±二皂eaes?

叵salp

Xo.TimSourceDestinationProtocolSnsInfo

1834.4191830210.101.198.147SMTPJS：220newx»esmtplogicsvrszc8.)

1844.42339710.101.19B.14714.18.175.202SMTP76C：EHLOLAPTOP-2P51UBCJ

1874.4699830210.101.198.147SMTP2-S：2S0-newx»esmtplogicsvrszc8.|f

AUTHX0AUTH2dXNlcjl4aXhpNTMwY2hlbF||

1884.47028210.101.19B.14714.18.175.202SMTP4-C：

2184・7225900210.101.198.147SMTP74S：2352.7.0Accepted

2224.72599647102SMTP1.C：MAHFROM:<xixi530chen^foxmail.coi

2264.8287M0210.101.198.147SMTP62S：250OK

2274.8292624714.18.175.202SMTP84C：RCPTTO:<1227674132gqq.COm>

2344.9383490210.101.198.147SMTP62S：250OK

2354.93868610.101.19B.14714.18.175.202SMTP60C：DATA

2404.9868930210.101.198.147SMTP92S：3s4Enddatawith<CR><LF>.<CRxLF：

741d*71741。1A11QR1d71d1ft17，7A7SMTP4r-HATAfrpomont4^7hvtp^w

<>

Frame183:117bytesonwire(936bits),117bytescaptured(936bits)oninterface\Device\NPF_{142B7B09-BBE6-4

EthernetII,Src:HuaweiTe_82:f8:32(10:lb:S4:82:f8:32),Dst:IntelCor.d8：bl：75(7c：b2：7d：d8:bl：75)

■V

图3.40

在抓取的数据包中可以看到发件人信息：

74S:2352.7.0Accepted

1...C:MAILFROM:<xixi530chen@>.

62S：250OK

图3.41

以及收件人信息：

84C:RCPTTO:<12276741320>

图3.42

当然我们也能看到该邮件使用的发送平台是foxmail：

upr;oacKgrouna-

color:transpare

nt;">xixi530chen

@foxmail.com</a>

<span=-

图3.43

时间信息：

Date:Wed,27Apr202220:13:54+0800时间

>From:"xixi530chen^"<xixi530chen@>,1item

>To:1227674132<1227674132@>,1item.入

Subject:=?GB2312?B?16Ww/A==?=

图3.44

当然也能获取消息标号：

Message-ID:<202204272013539015273@>

图3.45

Ip信息:

LneaueiuiieciK2>umUIIveiXIieuj

SourceAddress:47

DestinationAddress:02

图3.46

也可以通过追踪tcp流获得这些信息：

MAILFROM:<xixi530chen@foxmail.com>SIZE=1971.一

250OK友近万

RCPTTO:<1227674132@>^

250OK接收方

DATA

354Enddatawith<CRxLF>.<CRxLF>.发送时间

Date:Wed,27Apr202220:45:53+0800

From:"xixi530chen@foxmail.com"<xixi530chen@foxmail.com>

To：1227674132<1227674132@qq.com>

Subject:=?GB2312?B?16Ww/A==?=.一十日页

X-Priority:3工这

X-GUID：383AA83C-B961-47BE-8BC9-8003BCD52B8E

X-Has-Attach:no

X-Mailer:Foxmail7.2.23.121[cn]

Mime-Version:1.0；肖，息号,

Message-ID:〈202204272045535309184@>

Content-Type:multipart/alternative;

boundary="——=_001_NextPart284012708868_=

图3.47

Thisisamulti-partmessageinMIMEformat.

------=_001_NextPart284012708868_=----

Content-Type:text/plain;

charset="GB2312"邮件内容

Content-Transfer-Encoding:base64十一

加密方式

DQoNCg0KDQp4aXhpNTMwY2hlbkBmb3htYWlsLmNvbSANCg0KSSBhbSBsaXVjaGVueGkgMDgx

0TI4

NzYNCg==

由于我们发送的内容只有数字和英文字母，所以我们可以直接找到所发送的内容:

spanSTyie=5Dronr-size:iwpr;c。节腹野言意oacKgrouna-coion:

rgba=

(0,0,0,0);">Iamliuchenxi08192876</spanx/divxspanstyle=3D"color:

图3.48

当然我们也可以利用在线转码工具对邮件进行解码：

DQuXCKOKDQp4aXlipNTM»Y2hlljkBuib31it\TBLwNvbSANCgOKSSBhbSBbaX\jaGVueGkKMD8AOTI4Nz^Cg-=

抓取到的加密内容

清空加密解密□解密为UTF-8字节流

xixi530chen®foxmail.com

Iamliuchenxi08192876解密内容，也是发送的邮件内容

图3.49

我们来分析一下这些数据帧都做了哪些工作:

5045.7017459247SMIP1-S:220newxmesmtplogicsvrsza9.qq.c

5055.7051154792SM1P76C：EHLOLAPTOP-2P51UBCJ

5075.7486229247SMIP2-S:250-newxmesmtplogicsvrsza9.qq.c

5085.7489764792SMIP4_C：AUTHXOAUTH2dXNlcjl4aXhpMTMwY2

5235.9882199247SMIP74S:2352.7.0Accepted

5245.991775ie.iei.i98.i4792SMIP1-C:MAILFROM:<xixi530chen^foxmail

53。6.0758769247SMIP62S:250OK

5316.0766044792SMIP84C:RCPTTO：<1227674132^>

5356.1779589247SMIP62S：250OK

5366.1784664792SMIP60C：DATA

5396.2273759247SMTP92S:354Enddatawith<CRxLF>.<CR>

5406.2278394792SMIP4_UDATAfragment,437bytes

5416.22824Sie.101.198.14792SMIP1-C:DATAfragment,1424bytes

5426.2282454792SMIPDATAfragment,110bytes

5446.2659294792对P/J59from:"xixi530chcn^foxmoil.com**<x

5746.5087159247SMIP74S:25。OK:queuedas.

<7。V耳jqiAi1QQ,47—1A110*1CMTDr・/MITT

图3.50

第505帧Foxmail向服务器发送EHLO指令，表明身份,我们可以看到Foxmail

客户端的主机名：

LAPT0P-2P51UBCJo

第524帧与第531帧,我们可以看到发送邮件的发送者和接受者，这个是明文的。

第540帧与第5411>542帧,Foxmail客户端发送的数据大小。

第544帧是邮件的账户和主题信息。

第575帧断开服务器连接。

八、wireshake图片取证:

打开wireshake：

文科<F)SW(E)帆(V)8tW(G)分析<,

■二@xcq•三丁士二皂qqq史

1Isatp___________________S3一T♦■

Xo.TimSourceDestinationProtocolLensInfo

1834.4191830247SMTPJS：220newx«esmtplogicsvrszc8.)

1844.423397ie.161.19B.14702SMTP76CsEHLOLAPTOP-2P51UBC3

1874.4699830247SMTP2-S：250-newx®|

1884.4702824702SMTP4-C:AUTHX0AUTH2dXNlcjl4aXhpNTMwY2hlbF[

2184.7225900247SMTP74S:2352.7.0Accepted

2224.7259964702SMTP1.C：MAILFROM:<xixi530chen^foxmail.coi

2264.8287990247SMTP62S：250OK

2274.82926210.101.19B.14702SMTP84C：RCPTTO:<1227674132奥

2344.9383490247SMTP62S：25。OK

2354.93868610.101.19B.14702SMTP60C：DATA

2404.9868930247SMTP92S：3s4Enddatawith<CR><LF>.<CRxLF：

741dQR717^1A11QR147iaia17，7A7SMTP4r-HATAfr3omont4^7hvtp^v

<>

Frame183:117bytesonwire(936bits),117bytescaptured(936bits)oninterface\Device\NPF_{142B7B09-BBE6-4

EthernetII,Src:HuaweiTe_82:f8:32(10:lb:54:82:f8:32),Dst:IntelCor.d8:bl:7S(7c:b2:7d:d8:bl:75)

图3.51

要对图片进行取证我们需要先导出对象：

40919^08.cap

文件(F)编辑(E)视图(V)跳转(G)捕获(C)分析(A)统土

OpenCtrl+O至-

OpenRecent»

合并(M)...

从Hex转储导入⑴…

H

CloseCtrl+W

LI.237

防

S)Ctrl+Sbl

另存为Ctrl+Shift+S

(A)...LI.237

文件集合11.237

)1

导由特定分组…

11.237

导由分组解析结果

)1

导四分组字节流(B)...Ctrl+Shift+X

)1

导由PDU到文件…

导tlTLS会话密钥…

|导用对象DICOM...

HTTP...

打印(P)…Ctrl+P

IMF...

QuitCtrl+QSMB...

2917275756TFTP...

图3.52

获得分组和主机信息：

下面数据包抓取了3张图片，现在我们对sydney.jpg进行分析:

文本过滤器：c(

分组主机名内容类型大小文件^

6text/html160bytes\

16application/vnd.xacp433bytesxcms.asp

195bytesxcms.asp

38text/html4323bytesindex.html

61image/jpeg8281bytesbg2.jpg

|72image/jpeg9045bytessydney.jpg

100operal-134bytesdst=Win700

109134bytesdst=Win700

120134bytesdst=Win_700

137134bytesdst=Win700

159text/html416bytesdagbok.html

2071136bytesbins=1

218text/html1263bytesdagbok.html

230text/html2232bytesdagbok.html

259image/jpeg8963bytesDSC07858JPG

269image/jpeg10kBDSC07859JPG

479image/jpeg191kBDSC07858JPG

图3.53

点击一下该行，定位到对应数据部分：

-721.42451810.1.1.110.1.1.101HTT，6_HTTP/1.1206OK(3PEG3FIFimage)

对其进行TCP追踪流：

万组;土杼…