25 - SMTP

Nmap

Para facilitar información de este puerto puedes usar sus NSE's correspondientes

#opcion 1 - todos los que contengan *telnet* en el NSE
nmap -p 25 -sV --script=*smtp* IP

#opcion 2 - específicamente los siguientes
nmap -p 25 -sV --script=telnet-encryption,telnet-ntlm-info,telnet-brute IP

Probar

Comandos de SMTP

• HELO – Comando enviado por el cliente para identificarse. Ejemplo: HELO 192.168.101 or HELO .

• EHLO – Es similar al comando HELO. La diferencia se basa en comunicar al servidor que el cliente quiere usar el modo extendido de SMTP: ESMTP.

• STARTTLS – Emplear cifrado TLS para cifrar las comunicaciones pues por defecto SMTP se comunica en texto plano.

• RCPT TO – Especifica la dirección de correo del destinatario.

• DATA – Comienza la transferencia del contenido del mensaje.

• RSET – Resetear/abortar la comunicación..

• MAIL – Especifica la dirección de correo del remitente.

• QUIT – Cierra la conexión.

• HELP – Comando de ayuda para listar los comandos habilitados en el servidor.

• AUTH – Para autenticarse en el servidor.

• VRFY – Comando para preguntar al servidor si un correo esta disponible o registrado en el servidor.

Conectar con el activo

root@miau# telnet IP 25
Trying ***...
Connected to ***.
Escape character is '^]'.
220 **************************************
quit
221 2.0.0 Bye
Connection closed by foreign host.

Usar Smtp-User-Enum

root@miau# smtp-user-enum -M VRFY -U /usr/share/wordlists/metasploit/unix_users.txt -t IP

Verificar si están habilitadas las comunicaciones internas

nc -nv IP 25
VRFY <user>

root@miau:~# nc IP 25
220 **************************************
HELO LOCALHOST
250 *****
VRFY postmaster
252 2.0.0 postmaster
MAIL from: postmaster
250 2.1.0 Ok
RCPT to: postmaster
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Email sent with no authorization
.
250 2.0.0 Ok: queued as 99A18407AA7F

Tipos de pruebas

• Identificación del banner y búsqueda de posibles vulnerabilidades propias de la versión.

nv -vn IP 25

• Enumeración de usuarios.

• Fuerza bruta

hydra -l <username> -P <password_list> IP smtp://IP

• SMTP Relay

• Incorrecto control de acceso para poder enviar un correo suplantando el origen.

Opciones de obtener información si han dejado la configuración por defecto:

• Obtención del banner con la ejecución de Nmap.

• Al acceder al servidor mediante Telnet o netcat

• Metasploit cuenta con un módulo auxiliar: /scanner/smtp/smtp_version

msf > use auxiliary/scanner/smtp/smtp_enum
msf > use auxiliary/scanner/smtp/smtp_version

Máquinas resueltas que usan SMTP

• HTB

  • SneakyMailer

Referencias