我正在尝试实现从Outlook客户端到Exchange服务器的流量的数据包嗅探。据我所知,此通信使用HTTPS上的MAPI(Outlook任何位置)。我不认为我在RPC上使用MAPI。
流量显示为TLS,当我加载了适当的证书时,我可以在wireshark中对其进行解码。我无法查看我在测试期间发送的邮件的原始内容,它仍然是编码的。
如何解码消息,以便阅读纯文本的原始内容?
我正在为处理的每个流创建临时文件,并将它们未经查询和ssl解码后存储。以下示例。如果我在较少的时间内查看所述文件,它们似乎是二进制的:
处理
完成
X开始时间:2016年12月16日星期五23:17:12 GMT
X运行时间:5
^@^@^@^@^@^@^@^@^@^@^@^@^B^@^@^@@^@^E^@<9B>B^A^E<80>lt;9F>@^D^D^C^A^@^@^A^Ctestets)^@s^@Y^@^Q^@h^@^V^@p^@^A^@^Q ^@^B^A^@^E^@^O^B^A^C^@^@9^C^@^ O^C^@^E9^^^@^X^@^X ^@^@:^C^@@q:^B^A^@^U^D^A=^C^@C^X^A^^@8^@^X^@X^@^ A^^@f^A^D^@^>D^F^@^H ^@^@^@/o=ExchangeLabs/ou~^@管理员^@^@@^@活动组(FYDIBOHF23SPDLT)/cn=^@^@@1@^@接收方i^@cfb4ddc8c1ba473a3d23^@^^@@^@4e13218455da shayne.civi^@S^@H^@a^@y^@X^U^@n^@e^@^@C^@i^@v^X^@t<98>@r<88>@s^X^@^@^@^Zd^@g(^@)^Atx^@O^@K^@<89>Ao^@m@^B^B^^A^M^M^A^@^P^@&^_^ON<98>h5^GZ]w<83>^@^B^@^W^R^K5^Ko^C^F^M/8^@=^@E^@x<88>@<89>Bnz^ALH^@b8^A^@u^@i^@A^@@^Bm<88>Cn^X^@s^Br^@tX^@v^@Gx^@^ApX^@(^@F^@Y^@D^@I^@B^@O^@bESC^EEHh^@2^@3X^GP<98>^@L^@T^@)@7h^B3H^@3^@^B4^A18^@2(^@8h^@5^@a^@-X^B^E<8F>^a^@^P^@^G<93>^W^@^与l<82><8A>MR
我已经通读了所有文档https://msdn.microsoft.com/en-us/library/cc425499(v=exchg.80).aspx关于我能找到的这些协议。
编辑:
通过使用一个名为fiddler的程序,它是办公室检查员,特别是MAPIInspector,我可以查看几乎所有我需要的信息。
https://github.com/OfficeDev/Office-Inspectors-for-Fiddler
我可以以纯文本查看:主题、收件人列表、发件人信息、文件附件名称、文件附件内容等等,但我仍然找不到邮件的正文。
我相信信息存储在:ExecuteRequestBody->ROPBuffer->有效载荷->ROPList->ROPWriteStreamRequest->数据
我相信ROPWriteStreamRequest正是我所需要的。
内容被加密和/或混淆。我能够找到RPC的模糊算法,它是0xA5的XOR,但我不确定这是在压缩之前还是之后完成的。我怀疑压缩算法是LZ77。
ExecuteRequestBody->ROPBuffer->Payload->ROPList->ROPWriteStreamRequest->Data保存了附件内容。电子邮件内容存储在RopSetPropertiesRequest->PropertyValues->第11个TaggedPropertyValue(其属性标记为PidTagBodyHtml)中。内容为html格式。