51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

KnockOutlook:一款针对Outlook的红队安全研究工具

作者:Alpha_h4ck
安全 数据安全
KnockOutlook是一款基于C#开发的工具,该工具可以跟Outlook的COM对象进行交互,并且能够帮助红队安全研究人员执行各种安全操作。

[[425714]]

关于KnockOutlook

KnockOutlook是一款基于C#开发的工具,该工具可以跟Outlook的COM对象进行交互,并且能够帮助红队安全研究人员执行各种安全操作。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/eksperience/KnockOutlook.git 

  • 1.

命令行使用

__ __                  __   ____        __  __            __ 
 
     / //_/____  ____  _____/ /__/ __ \__  __/ /_/ /___  ____  / /__ 
 
    / ,<  / __ \/ __ \/ ___/ //_/ / / / / / / __/ / __ \/ __ \/ //_/ 
 
   / /| |/ / / / /_/ / /__/ ,< / /_/ / /_/ / /_/ / /_/ / /_/ / ,< 
 
  /_/ |_/_/ /_/\____/\___/_/\_\\____/\__,_/\__/_/\____/\____/_/\_\ 
 
  
 
  
 
Parameters: 
 
    --operation  :  指定需要执行的操作 
 
    --keyword   :  指定搜索操作的关键词 
 
    --id        :  指定保存操作的目标 
 
    --bypass    :  绕过编程访问安全设置(需要管理员权限) 
 
  
 
Operations: 
 
    check       :  执行各种检测以确保操作安全 
 
    contacts     :  提取每一个账号的所有联系人 
 
    mails       :   提取每一个账号的邮箱元数据 
 
search      :  根据关键词搜索每一个邮箱 
 
save        :  保存指定EntryID的邮件 
 
  
 
Examples: 
 
    KnockOutlook.exe --operation check 
 
    KnockOutlook.exe --operation contacts 
 
    KnockOutlook.exe --operation mails --bypass 
 
    KnockOutlook.exe --operation search --keyword password 
 
    KnockOutlook.exe --operation save --id {EntryID} --bypass 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.

功能操作

(1) 安全检测(check)

枚举Outlook安装详细信息,以便构造正确的注册表项并检索编程访问安全设置。

如果此值设置为“Warn when antivirus is inactive or out-of-date”,它将会查询WMI以查找任何已安装的防病毒产品并分析其当前状态。

(2) 联系人信息枚举(contacts)

枚举每个已配置帐户的联系人并提取以下信息:

  • 完整名称(全名)
  • 电子邮件地址

(3) 电子邮件枚举(mails)

枚举每个已配置帐户的邮件并提取以下元数据:

  • ID
  • 时间戳
  • 主题
  • 邮件发送者
  • 邮件接收者
  • 附件

(4) 搜索查询(search)

使用Outlook的内置搜索引擎在每个已配置帐户的邮箱中搜索,并返回邮件正文中包含所提供关键字的EntryID。

(5) 数据保存(save)

使用Outlook内置的另存为机制导出由其EntryID引用的邮件。

对象模型保护绕过

由于当前进程是以高级完整权限运行的,因此该工具所提供的“--bypass”选项可以与联系人信息枚举(contacts)、电子邮件枚举(mails)、搜索查询(search)以及数据保存(save)这几个功能结合使用。

KnockOutlook将尝试获取当前Outlook安全策略的快照,并以自动允许编程访问安全提示的方式对其进行篡改操作,在操作完成后还会将其恢复为初始状态。

数据输出

KnockOutlook的所有操作都会将基础数据直接输出在屏幕上。

联系人信息枚举(contacts)和电子邮件枚举(mails)操作将会把输出数据以JSON格式保存至gzip压缩文件中。

数据保存(save)操作将会把输出数据以.msg格式导出。

所有的文件名都会在运行时随机生成。

默认配置下,Outlook的安全临时目录会用来存储所有的导出文件。

项目地址

KnockOutlook:【GitHub传送门

 

责任编辑:赵宁宁 来源: FreeBuf
KnockOutlook安全工具红队
相关推荐
InfoHound:一款针对域名安全强大OSINT工具
在网络侦查阶段,攻击者会搜索有关其目标的任何信息,以创建一个档案,而这种档案可以帮助他确定进入目标组织的可能方式。InfoHound使用了公开资源情报(OSINT)技术来对目标域名执行被动分析,且整个过程中不需要与目标进行直接交互,即可提取给定域名的大量有价值数据。

2023-10-10 07:08:42

Hidden:一款针对Windows系统安全研究任务解决方案
Hidden是一个带有用户模式接口的Windows驱动程序,可以用于隐藏目标Windows设备上的特定环境,例如RCE程序(procmon或wireshark等)和VM基础设施(vmwaretools等)之类的工具环境。

2023-08-28 07:16:19

HiddenWindowsRCE
14被严重低估安全测试工具推荐
Hackazon是另一个易受攻击的web应用程序,旨在用现代web技术模拟实际电子商务网站。它由Rapid7开发,为安全专业人员提供了逼真的环境来测试动态web应用程序中常见的漏洞,包括充分利用REST的API错误配置、SQL注入、XSS和客户端漏洞。

2024-10-21 13:11:50

Rekoobe:一款针对Linux恶意软件
Dr.Web在10月时发现了Rekoobe,之后的两个月,专家们对它进行了分析。Rekoobe木马最初只会感染LinuxSPARC架构,之后它经过升级,可以感染运行于32位和64位英特尔芯片上的的Linux电脑。

2015-12-07 16:18:06

Jsprime——一款JavaScript静态安全分析工具
如今,越来越多开发人开始将JavaScript作为其首选语言方案。理由很简单,JavaScript如今正越来越多地被视为应用程序的主流开发语言——无论是在Web层面抑或是移动端,客户端不是服务器端。

2016-03-29 14:54:36

WAP:一款WEB安全检测工具
WebApplicationProtection(WAP)是用于源代码静态分析和数据挖掘的一个工具,WAP主要检测使用PHP(4.0版本及以上)编写的web应用程序,并且因为它的误报率很低而受到广泛好评。

2015-11-16 14:27:03

APT研究公司FireEye反遭APT入侵,大量工具被窃
过去,FireEye因一个个网络安全报告而闻名,而这次,FireEye上了头条却是因为受到国家民族黑客的攻击。

2020-12-09 11:05:21

APT网络攻击渗透测试
Qlog:一款功能强大Windows安全日志工具
Qlog是一款功能强大的Windows安全日志工具,该工具可以为Windows操作系统上的安全相关事件提供丰富的事件日志记录功能。

2021-10-19 06:37:21

安全工具Qlog安全日志工具
Pstf:一款功能强大被动安全工具指纹框架
Pstf是一款基于HTTP服务器实现的安全框架,可以帮助广大研究人员以被动方式对浏览器进行指纹识别。

2021-09-14 15:01:31

Pstf安全工具指纹框架
ImpulsiveDLLHijack:一款基于C#实现DLL劫持技术研究工具
该工具基于C开发实现,以自动化的方式扫描、发现并利用目标设备二进制文件中的DLL安全问题,并实现DLL劫持。

2021-12-15 09:58:20

安全工具劫持技术DLL
最喜欢 18 种优秀网络安全渗透工具
旨在介绍一些红队工具,供大家了解和参考研究之用,不建议任何人利用网络技术从事非法工作,破坏他人计算机等行为。渗透有风险,入坑需谨慎。法网恢恢,疏而不漏。请正确理解渗透含义,正确利用渗透技术,做网络安全服务的践行者。

2021-08-11 05:03:27

工具渗透网络
介绍一款好用终端工具Screen
screen是一款由GNU开发的命令行终端工具,它提供了从多个终端窗口连接到同一个shell会话(会话共享)。

2021-01-27 13:16:39

ScreenLinux命令
介绍一款好用终端工具Screen
screen是一款由GNU开发的命令行终端工具,它提供了从多个终端窗口连接到同一个shell会话(会话共享)。当网络中断,或终端窗口意外关闭是,中screen中运行的程序任然可以运行。

2021-02-16 10:58:50

ScreenLinux命令
一款iPhone病毒来袭:针对中国用户
国网络安全公司PaloAltoNetwork周一宣布,近日发现一种新型恶意软件,它针对中国内地和台湾地区的iOS用户发动攻击。

2015-10-05 17:38:33

Parrot Security发行版或是你一款安全工具
ParrotSecurity是一款完整的发行版,基于DebianJessie核心,它包括加密、云、匿名、数字取证分析和编程等方面的软件。除了测试、审计和编程工具外,你还会发现Parrot发行版是一种运行稳定的系统。Parrot基于Debian9,包括一个自定义、加固版的Linux4.6内核。

2016-12-07 09:31:28

如何使用Codecepticon对C#、VBA宏和PowerShell源代码进行混淆处理
Codecepticon是一款功能强大的代码混淆处理工具,该工具专为红队和紫队渗透测试安全活动而开发,在该工具的帮助下,广大研究人员可以轻松对C、VBA5VBA6(宏)和PowerShell源代码进行混淆处理。

2023-01-03 10:46:29

实例解析一款针对IE6CSS hack用法
CSS网页布局的兼容性问题一直困扰着大家,其实在51cto.com以前的文章中也有着丰富的CSSHACK与CSS兼容性的文章,这里向大家讲解一个关于IE6的CSSHACK的用法。

2010-09-16 13:57:39

CSS hackIE6
填补企业安全功能空白:你需要这样一款安全分析工具
本文中评估了很多产品,包括BlueCoatSecurityAnalyticsPlatform、LancopeStealthWatchSystem、瞻博网络JSASeriesSecureAnalytics、EMCRSASecurityAnalyticsNetWitness、FireEye威胁分析平台、ArborNetworksSecurityAnalytics、ClickSecurityClickCommander和SumoLogic的云服务。

2015-07-20 09:31:37

Tiger–UNIX:一款开源安全审计入侵检测工具
Tiger是一个完全由shell脚本编写的UNIX的免费、开源安全工具,适用于安全审计和入侵检测。

2015-09-28 18:05:52

安全审计入侵检测Tiger–UNIX
Peniot:一款针对物联网设备专业全自动化渗透测试工具
Peniot是一款针对物联网设备的专业渗透测试工具,它可以帮助我们通过各种不同类型的网络安全攻击来测试目标物联网设备的安全性。

2020-08-24 06:58:01

渗透测试工具物联网设备安全攻击测试
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服