Nástroj o365creeper, dostupný na GitHubu, představuje jednoduchý Python skript určený k ověřování platnosti e-mailových účtů patřících do tenantů Office 365. Tento proces je známý jako „enumerace e-mailových adres“.
Nástroj (skript) je dostupný na GitHubu LMGsec/o365creepe.
Jak o365creeper funguje?
Skript umožňuje zadat jednu e-mailovou adresu pomocí parametru -e nebo seznam e-mailových adres přes soubor s parametrem -f. Po zadání adres(y) skript posílá požadavek na Office 365 bez nutnosti hesla a kontroluje hodnotu parametru „IfExistsResult“. Pokud je tato hodnota nastavena na 0, účet je považován za platný; hodnota 1 indikuje neplatný účet.
Technické detaily
o365creeper vyžaduje knihovnu „Requests“ pro Python a nabízí možnost výstupu platných e-mailových adres do souboru s použitím parametru -o. Příklady použití skriptu zahrnují:
o365creeper.py -e test@example.como365creeper.py -f emails.txto365creeper.py -f emails.txt -o validemails.txt
Možné problémy a omezení
Office 365 může po opakovaných pokusech o ověření téže e-mailové adresy tyto požadavky náhodně označit, což může vést k falešným pozitivům, kdy neplatné e-mailové adresy mohou být zobrazeny jako platné. To je signalizováno parametrem „ThrottleStatus“ nastaveným na 1 v odpovědi serveru. Nejlepší výsledky lze očekávat při použití unikátních e-mailových adres.
Licenční ujednání
Nástroj je vydán pod BSD 2-Clause License, bez záruky a je určen k použití na vlastní riziko. Autorská práva drží společnost LMG Security, všechna práva vyhrazena.
Tento nástroj je vynikající pro administrátory a bezpečnostní specialisty, kteří potřebují ověřit a spravovat e-mailové účty ve svých Office 365 tenantech, avšak je třeba jej používat opatrně a s ohledem na možné důsledky pro provozní prostředí.
Použité zdroje
[1] https://github.com/LMGsec/o365creeper