25 - SMTP

Nmap

Para facilitar información de este puerto puedes usar sus NSE's correspondientes

#opcion 1 - todos los que contengan *telnet* en el NSE
nmap -p 25 -sV --script=*smtp* IP

#opcion 2 - específicamente los siguientes
nmap -p 25 -sV --script=telnet-encryption,telnet-ntlm-info,telnet-brute IP

Probar

Comandos de SMTP

• HELO – Comando enviado por el cliente para identificarse. Ejemplo: HELO 192.168.101 or HELO client.microsoft.com.

• EHLO – Es similar al comando HELO. La diferencia se basa en comunicar al servidor que el cliente quiere usar el modo extendido de SMTP: ESMTP.

• STARTTLS – Emplear cifrado TLS para cifrar las comunicaciones pues por defecto SMTP se comunica en texto plano.

• RCPT TO – Especifica la dirección de correo del destinatario.

• DATA – Comienza la transferencia del contenido del mensaje.

• RSET – Resetear/abortar la comunicación..

• MAIL – Especifica la dirección de correo del remitente.

• QUIT – Cierra la conexión.

• HELP – Comando de ayuda para listar los comandos habilitados en el servidor.

• AUTH – Para autenticarse en el servidor.

• VRFY – Comando para preguntar al servidor si un correo esta disponible o registrado en el servidor.

Conectar con el activo

Usar Smtp-User-Enum

Verificar si están habilitadas las comunicaciones internas

Tipos de pruebas

• Identificación del banner y búsqueda de posibles vulnerabilidades propias de la versión.

• Enumeración de usuarios.

• Fuerza bruta

• SMTP Relay

• Incorrecto control de acceso para poder enviar un correo suplantando el origen.

Opciones de obtener información si han dejado la configuración por defecto:

• Obtención del banner con la ejecución de Nmap.

• Al acceder al servidor mediante Telnet o netcat

• Metasploit cuenta con un módulo auxiliar: /scanner/smtp/smtp_version

Máquinas resueltas que usan SMTP

• HTB

  • SneakyMailer

Referencias

• https://www.offensive-security.com/metasploit-unleashed/scanner-smtp-auxiliary-modules/