文章总结： 本文选自《内网安全攻防：红队之路》，核心讲解内网信息收集中的邮件账户与云账号发现技术。针对邮件系统，介绍利用MailSniper工具枚举全局地址列表及进行密码喷射的方法。针对云环境，演示了Azure、AWS及GoogleCloud列举用户与服务账户的命令行操作。最后提出防御建议，主张加强内网日志监控、使用sysmon监测进程及配置组策略缓解账户枚举风险。 综合评分： 75 文章分类： 内网渗透,红队,安全工具,渗透测试

内网信息收集 – 邮件账户/云账号

原创

徐哥 徐哥

Ms08067安全实验室

2026年3月12日 09:02 江苏

本文选自《内网安全攻防：红队之路》

扫描二维码75折购书

攻击者可能会尝试获取系统或环境中的帐户列表，账户类型主要包括本地账户、域账户、邮件账户和云账户，此信息可以帮助攻击者确定存在哪些帐户以帮助后续行为。

1. 邮件帐户发现分析

MailSniper是一种用于在Microsoft Exchange环境中搜索包含特定术语（如密码、内部信息、网络架构信息等）的电子邮件的开源工具。它可以作为普通用户搜索他们自己的电子邮件，也可由Exchange管理员搜索域中每个用户的邮箱。

地址：https://github.com/dafthack/MailSniper

在使用前需运行如下命令打开PowerShell并导入mailsniper

powershell.exe -exec bypassImport-Module .\MailSniper.ps1

执行如下命令，使用MailSniper的Get-GlobalAddressList功能模块，可实现连接到Outlook Web Access（OWA）在线门户并利用“FindPeople”方法（仅适用于Exchange2013及更高版本）从全局地址列表（GAL）枚举电子邮件账户。如果通过OWA未成功发现邮件账户，MailSniper将同时连接到Exchange Web Service（EWS）并尝试从GAL枚举电子邮件账户。

Get-GlobalAddressList -ExchHostname mail.domain.com -UserName domain\username -Password Summer2017 -OutFile global-address-list.txt

MailSniper除了邮件账户发现功能外，还具有许多实用的功能模块，各模块参数及使用方法可以从项目地址获取：

Invoke-DomainHarvest模块：OWA获取目标组织的内部域名

Invoke-UsernameHarvest模块：OWA生成“域\用户名”或“用户名@域”格式的潜在用户名列表

Invoke-PasswordSprayOWA模块：OWA密码喷射

Invoke-PasswordSprayEWS模块：EWS密码喷射

Get-ADUsernameFromEWS模块：从EWS获取活动目录用户名

Invoke-OpenInboxFinder模块：查找权限过宽的收件箱

Invoke-SelfSearch模块：默认搜索当前账户邮箱含“password”、“creds”和“credentials”的邮件。

2. 云账号发现分析

攻击者可能会尝试获取云帐户列表。云帐户是由组织创建和配置的帐户，供用户、远程支持、服务使用，或用于管理云服务提供商或软件即服务（SaaS）应用程序内的资源。

运行如下命令列出Microsoft Azure活动目录的用户列表。

az ad user list

命令az ad user list可选参数：

–display-name 对象的显示名称或其前缀

–filter OData过滤器，如”displayname eq ‘test'”

–query-examples 推荐JMESPath字符串，可以复制其中一个查询并将其粘贴到双引号内的–query参数之后以查看结果

l–upn 用户主体名称，如[email protected]

运行如下命令列出Amazon Web Services（AWS）中的所有IAM用户。

aws iam list-users

命令aws iam list-users可选参数：

–path-prefix 过滤结果的路径前缀

–max-items 在命令的输出中返回的项目总数

–cli-input-json 根据提供的JSON字符串进行服务操作

–starting-token 用于指定从何处开始分页的标记

–page-size 要在AWS服务调用中获取的每个页面的大小

–generate-cli-skeleton 在不发送API请求的情况下将JSON骨架打印到标准输出。

运行如下命令列出Google Cloud当前项目中的所有服务帐户。

gcloud iam service-accounts list

命令gcloud iam service-accounts list可选参数：

–filter=EXPRESSION 将布尔过滤器EXPRESSION应用于要列出的每个资源项，如果表达式计算为True，则列出该项目。

–limit=LIMIT 要列出的最大资源数，默认为unlimited。

–sort-by=[FIELD,…] 要排序的资源字段键名称的逗号分隔列表，默认顺序是升序，使用“~”字段前缀，用于该字段的降序。

–uri 打印资源URI列表而不是默认输出，并将命令输出更改为URI列表。

3. 账户发现技术防御

账户发现是攻击者探测内网的重要步骤，具有较高的危害性，内网安全管理员可以通过采取以下方法进行防御：

一是加强对内网的监控，实施内网安全日志管理和内网安全监测，特别是在域网络中，一旦发现与账户发现相关的网络活动，无论是否合法都要立即发出警报。

二是加强对操作系统的监测，通过sysmon监控Windows操作系统上可用于枚举用户帐户的进程和命令行参数，例如net.exe和net1.exe程序，及时发现非正常的攻击行为。

三是缓解账户发现相关攻击。本地管理员账户枚举主要信赖的是注册表项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators，我们可以通过组策略对象（GPO）禁用它：计算机配置>[策略]>管理模板>Windows组件>凭据用户界面：在提升时枚举管理员帐户。邮箱账户枚举主要信赖的是相关攻击软件的嗅探技术，安装并维护杀毒软件，可以有效进行应对。

—  关于我们  —

镇江刺掌信息科技有限公司成立于2020年，公司旗下MS08067安全实验室，专注于网络安全领域教育、培训、认证产品及服务提供商。近两年，线上培训人数近10万人次，培养网络安全人才近6000名。

公司被认定为国家高新技术企业、国家科技型中小企业、江苏省创新性中小企业、江苏省民营科技企业、江苏省软件企业。并荣获机械工业出版社“年度最佳合作伙伴”、电子工业出版社-博文视点“优秀合作伙伴”、镇江市企业发展服务中心优质合作伙伴、镇江市网络安全应急支撑服务单位等荣誉称号。

![](https://mmbiz.qpic.cn/mmbiz_png/ddqrZtAEBOj4xTcIKUfImvRJW3QEEJCaNqRTwr9WEqXjnoaQ54wf9BbUE3HqNN7PIOxTDRNRb3e6bsJlSZP6Yw/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=3)

![](https://mmbiz.qpic.cn/mmbiz_png/bL2iaicTYdZn55VMON4QdPLRem0HgglfDI6V20Pn5QiaW92aZBNoCAUbs5wzNqGSgnyBseeDYpF3UXjjIl1qwzvyg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=4)

如果喜欢我们

![](https://mmbiz.qpic.cn/mmbiz_png/bL2iaicTYdZn55VMON4QdPLRem0HgglfDI6V20Pn5QiaW92aZBNoCAUbs5wzNqGSgnyBseeDYpF3UXjjIl1qwzvyg/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp#imgIndex=5)

欢迎 在看丨留言丨分享至朋友圈 三连

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ms08067安全实验室 徐哥 徐哥《内网信息收集 – 邮件账户/云账号》