Outlook 数据包嗅探展望->；使用MAPI交换_Outlook_Exchange Server_Mapi_Packet Sniffers

Outlook 数据包嗅探展望->；使用MAPI交换

outlook exchange-server

Outlook 数据包嗅探展望->；使用MAPI交换,outlook,exchange-server,mapi,packet-sniffers,Outlook,Exchange Server,Mapi,Packet Sniffers,我正在尝试对从Outlook客户端到Exchange服务器的流量实施数据包嗅探。据我所知，此通信使用HTTPS上的MAPI（Outlook anywhere）。我认为我没有在RPC上使用MAPI 流量被视为TLS，我可以在wireshark中解码，因为我加载了相应的证书。我无法查看我在测试期间发送的邮件的原始内容，它仍然是编码的如何解码信息，以便以纯文本形式阅读原始内容我正在为处理的每个流创建临时文件，并将其存储为未排序和ssl解码的文件。下面的例子。如果我以更少的格式查看所述文件，它们似乎

我正在尝试对从Outlook客户端到Exchange服务器的流量实施数据包嗅探。据我所知，此通信使用HTTPS上的MAPI（Outlook anywhere）。我认为我没有在RPC上使用MAPI

流量被视为TLS，我可以在wireshark中解码，因为我加载了相应的证书。我无法查看我在测试期间发送的邮件的原始内容，它仍然是编码的

如何解码信息，以便以纯文本形式阅读原始内容

我正在为处理的每个流创建临时文件，并将其存储为未排序和ssl解码的文件。下面的例子。如果我以更少的格式查看所述文件，它们似乎是二进制文件：

加工

完成

X-StartTime:2016年12月16日星期五23:17:12 GMT

X-ElapsedTime:5

^@^@^@^@^@^@^@^@^@^@^@^@^这是一个很好的例子，它是一个很好的例子 ^C ^ 9 ^ C ^ O ^ C ^ E9 ^ X ^ X ^ X ^ q ^ B ^ A ^ D ^ A=^ C ^ X ^ A ^ 8 ^ X ^ X ^ A ^ f ^ A ^ D ^ D ^在本月的几几几天，在几几天内，在几几天内，在几天内，在几天内，在几天内，在几天内，在几天内，在几天内，在几几天内，在几几天内，在几几天内，在几天内，在几几天内，在几几天内，在几几几天内，在几几几天内，在在几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几天，在在几几几天内，在几几几天内，在几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几几(二)在香港,香港,香港,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门,澳门 ^M^A^^^^^^^ P^&^关于h5^GZ]w^^^^^^ B^^^^^ w^ R^ K5^ Ko^ C^ F^ M/8^=^@E^@x^^^ Bnz^ ALH^@b8^ A^@u^@i^@A^@@ ^英国国家医学院（中国）对中国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人在英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人的英国人在他们的第三日日日前，在在英国人的英国人的英国人的英国人的英国人的英国人的第三^^^^^^^^^^^^^^^^^^^^^^^^^^^在在在在在在在在在在他们的国家的人的人的人的人的人的人的人的人的人的人的第三，在在在在在在在他们的第三^B^E^a^^^ P^^^ G ^W^^ Vs l/MR]O^ Sx^ DUB^ V^ l^^ A^ C^ A^@^@^@^@

我已经阅读了所有我能找到的关于这些协议的文档

编辑：

通过使用名为fiddler的程序和它的Office Inspector，特别是MAPIInspector，我可以查看我需要的几乎所有信息

我可以查看纯文本：主题、收件人列表、发件人信息、文件附件名称、文件附件内容等，但我仍然找不到邮件的正文

我相信信息存储在： ExecuteRequestBody->ROPBuffer->Payload->ROPList->ROPWriteStreamRequest->数据

我相信RopWriteStream请求就是我所需要的

内容已加密和/或模糊处理。我能够找到RPC的模糊处理算法，它是0xA5的XOR，但我不确定这是在压缩之前还是之后完成的。我怀疑压缩算法是LZ77。

ExecuteRequestBody->ROPBuffer->Payload->ROPList->ROPWriteStreamRequest->保存了附件内容的数据。The电子邮件内容存储在RopSetPropertiesRequest->PropertyValues->第11个标记的PropertyValue（其属性标记为PidTagBodyHtml）中。内容为html格式。

您是否希望看到一些纯文本信息？我认为，由于内部加密和压缩，这将不起作用。如果信息已通过https加密，我不认为需要进一步加密，尽管我不是说不是这样，但我不知道是什么情况。如果是压缩，那么我会我想知道我必须使用什么充气算法来获取明文。内容与传输加密如何？这不一样……我只是发送一封带有主题测试和身体测试的电子邮件，并尝试嗅探，所以我自己没有加密内容。你是说outlook正在进行内容加密吗？如果是，那么我会我是否有可能查看内容？我已经更新了我的原始评论，包括我取得的进展以及我的问题仍然存在的地方…任何进一步的见解都将是非常棒的。