数据包嗅探 Outlook -> 使用 MAPI 交换

Question

我正在尝试对从 Outlook 客户端到 Exchange 服务器的流量进行数据包嗅探。据我所知，这种通信使用 MAPI over HTTPS（任何地方的 Outlook）。我不认为我在 RPC 上使用 MAPI。

流量以 TLS 形式出现，我可以在 Wireshark 中对其进行解码，因为我已加载了相应的证书。我无法查看我在测试期间发送的邮件的原始内容，它仍然是编码的。

如何解码消息，以便以纯文本形式阅读原始内容？

我正在为每个处理的流创建临时文件，并将它们未分块和 ssl 解码存储。下面的例子。如果我在 less 中查看所述文件，它们似乎是二进制文件：

处理

完成

X-开始时间：格林威治标准时间 2016 年 12 月 16 日星期五 23:17:12

X-ElapsedTime: 5

^@^@^@^@^@^@^@^@^@^@^@^@^B^@^@^@^@^E^@^B^A^E ^@^D^D^C^A^@^@^@^A^A^Ctestets)^@s^@Y^@^Q^@h^@^V^@p^ @^@^A^@^Q^@^B^A^@^E^@^@^O^B^A ^C^@^@9^C^@^O^C^@^E9^^@^X^@^X^@^@:^C^@q:^B^A ^@^@^U^D^A=^C^@^X^A^^@8^@^X^@X^@^A`^^@f^ A^A^D^@^@>^D ^F^@^H^@^@^@^@/o=ExchangeLabs/ou~^@ Administra^@^@^@^@tive Group (FYDIBOHF23SPDLT)/cn=^@^@ ^@Recipientsi^@cfb4ddc8c1ba4733a3d23 ^@^@^@^@4e1321845da-shayne.civi^@S^@h^@a^@y^@X^U^@n^@e^@ ^@C^@i^@v^X^ @t^@r^@s^X^@^@(^@^^A.^@c^@^^A^Q^@^ @0^@^@w^@^@^@令@B^P^Z^H^@+/*^K^@^@O^Gh ^D^D^A^@^P^A^@@^K @^@w(^@^@^Zd^@g(^@)^Atx^@o^@k^@^Ao^@m@^B?^B ^^A^M ^M^A^@^P^@&^?_^ON h5^GZ]w~^@^B^@^W^R^K5^Ko^C ^F^M/8 ^@=^@E^@x^@^Bnz^ALH^@b8^A^@u^@i ^@A^@@ ^Bm^Cn^X^@s^Br^@tX^@v^@Gx^@^ApX^@(^@F^@Y^@D^@I^@B^@O^@ bESC^EEHh^@2^@3X^GP^@L^@T^@)(^Cc8^B=^@R^AI^Fp^X^@^Et^B^@c ^@f^D4GU^CdX^@8^X^@1x^@a^@7h^B3H^@3^@^B4^A18^@2(^@8h^@5^@ a^@-X^B^E ^A^@^@^P^@^@^G ^W^@^Vs l/MR]Oˌ^Sx^@^@^DUB^V^@^@^L^@^@^@^@^A^C^@^@^一个^@^@^@^@

我已经阅读了所有我能找到的关于这些协议的文档https://msdn.microsoft.com/en-us/library/cc425499(v=exchg.80).aspx。

---

编辑：

通过使用一个名为 fiddler 的程序和它的 Office Inspectors，特别是 MAPIInspector，我能够查看几乎所有我需要的信息。

https://github.com/OfficeDev/Office-Inspectors-for-Fiddler

我能够以纯文本形式查看：主题、收件人列表、发件人信息、文件附件名称、文件附件内容等等，但我仍然找不到邮件正文。

我相信消息存储在： ExecuteRequestBody->ROPBuffer->Payload->ROPList->ROPWriteStreamRequest->Data.

我相信 ROPWriteStreamRequest 是我所需要的。

内容已加密和/或混淆。我能够找到 RPC 的混淆算法，它是 0xA5 的 XOR，但我不确定这是在压缩之前还是之后完成的。我怀疑压缩算法是LZ77。

Answer 1

ExecuteRequestBody->ROPBuffer->Payload->ROPList->ROPWriteStreamRequest->Data保存了附件内容。邮件内容存储在 RopSetPropertiesRequest->PropertyValues->第 11 个 TaggedPropertyValue（其属性标签为 PidTagBodyHtml）中。内容为html格式。