Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 12:43:23 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-imap.md

10 KiB
Raw Blame History

143,993 - IMAPのペンテスト

htARTEHackTricks AWS Red Team Expert でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法

最も重要な脆弱性を見つけて迅速に修正できます。Intruderは攻撃面を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリ、クラウドシステムまでの技術スタック全体で問題を見つけます。無料でお試しください 今すぐ。

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Internet Message Access Protocol

その名前が示すように、IMAPを使用すると、どこにいても電子メールメッセージにアクセスできます。ほとんどの場合、インターネット経由でアクセスされます。基本的に、電子メールメッセージはサーバーに保存されます。受信トレイをチェックするたびに、電子メールクライアントはサーバーに連絡して、メッセージに接続します。IMAPを使用して電子メールメッセージを読むとき、実際にはそれをコンピュータにダウンロードしたり保存したりしていません。代わりに、サーバーから読み取っています。その結果、異なるデバイスからメールをチェックすることができ、何も見逃すことなく行えます。

デフォルトでは、IMAPプロトコルは2つのポートで動作します

  • ポート143 - これはデフォルトのIMAP非暗号化ポートです
  • ポート993 - これはIMAPを安全に使用する場合に使用する必要があるポートです
PORT    STATE SERVICE REASON
143/tcp open  imap    syn-ack

バナーの取得

nc -nv <IP> 143
openssl s_client -connect <IP>:993 -quiet

NTLM認証 - 情報漏洩

サーバーがNTLM認証Windowsをサポートしている場合、機密情報バージョンを取得できます

root@kali: telnet example.com 143
* OK The Microsoft Exchange IMAP4 service is ready.
>> a1 AUTHENTICATE NTLM
+
>> TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=
+ TlRMTVNTUAACAAAACgAKADgAAAAFgooCBqqVKFrKPCMAAAAAAAAAAEgASABCAAAABgOAJQAAAA9JAEkAUwAwADEAAgAKAEkASQBTADAAMQABAAoASQBJAFMAMAAxAAQACgBJAEkAUwAwADEAAwAKAEkASQBTADAAMQAHAAgAHwMI0VPy1QEAAAAA

または、nmapプラグインimap-ntlm-info.nseを使用してこれを自動化します。

IMAPブルートフォース

構文

こちらからのIMAPコマンドの例

Login
A1 LOGIN username password
Values can be quoted to enclose spaces and special characters. A " must then be escape with a \
A1 LOGIN "username" "password"

List Folders/Mailboxes
A1 LIST "" *
A1 LIST INBOX *
A1 LIST "Archive" *

Create new Folder/Mailbox
A1 CREATE INBOX.Archive.2012
A1 CREATE "To Read"

Delete Folder/Mailbox
A1 DELETE INBOX.Archive.2012
A1 DELETE "To Read"

Rename Folder/Mailbox
A1 RENAME "INBOX.One" "INBOX.Two"

List Subscribed Mailboxes
A1 LSUB "" *

Status of Mailbox (There are more flags than the ones listed)
A1 STATUS INBOX (MESSAGES UNSEEN RECENT)

Select a mailbox
A1 SELECT INBOX

List messages
A1 FETCH 1:* (FLAGS)
A1 UID FETCH 1:* (FLAGS)

Retrieve Message Content
A1 FETCH 2 body[text]
A1 FETCH 2 all
A1 UID FETCH 102 (UID RFC822.SIZE BODY.PEEK[])

Close Mailbox
A1 CLOSE

Logout
A1 LOGOUT

進化

apt install evolution

CURL

基本的なナビゲーションはCURLで可能ですが、ドキュメントには詳細が少ないため、正確な詳細を確認するにはソースをチェックすることをお勧めします。

  1. メールボックスのリスト表示 (imapコマンド LIST "" "*")
$ curl -k 'imaps://1.2.3.4/' --user user:pass
  1. メールボックス内のメッセージのリスト表示 (imapコマンド SELECT INBOX そして SEARCH ALL)
$ curl -k 'imaps://1.2.3.4/INBOX?ALL' --user user:pass

この検索の結果はメッセージのインデックスのリストです。

より複雑な検索条件を指定することも可能です。例: メール本文にパスワードが含まれる下書きを検索する場合:

$ curl -k 'imaps://1.2.3.4/Drafts?TEXT password' --user user:pass

可能な検索条件の良い概要はこちらにあります。 3. メッセージのダウンロード (imapコマンド SELECT Drafts そして FETCH 1 BODY[])

$ curl -k 'imaps://1.2.3.4/Drafts;MAILINDEX=1' --user user:pass

メールインデックスは検索操作から返された同じインデックスになります。

また、UID (ユニークID) を使用してメッセージにアクセスすることも可能ですが、検索コマンドを手動でフォーマットする必要があるため、少し手間がかかります。例:

$ curl -k 'imaps://1.2.3.4/INBOX' -X 'UID SEARCH ALL' --user user:pass
$ curl -k 'imaps://1.2.3.4/INBOX;UID=1' --user user:pass

また、メッセージの一部だけをダウンロードすることも可能です。たとえば、最初の5つのメッセージの件名と送信者をダウンロードすることができます-vを使用して件名と送信者を表示する必要があります):

$ curl -k 'imaps://1.2.3.4/INBOX' -X 'FETCH 1:5 BODY[HEADER.FIELDS (SUBJECT FROM)]' --user user:pass -v 2>&1 | grep '^<'

たぶん、単純にforループを書く方がクリーンでしょう:

for m in {1..5}; do
echo $m
curl "imap://1.2.3.4/INBOX;MAILINDEX=$m;SECTION=HEADER.FIELDS%20(SUBJECT%20FROM)" --user user:pass
done

Shodan

  • port:143 CAPABILITY
  • port:993 CAPABILITY

HackTricks 自動コマンド

Protocol_Name: IMAP    #Protocol Abbreviation if there is one.
Port_Number:  143,993     #Comma separated if there is more than one.
Protocol_Description: Internet Message Access Protocol         #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for WHOIS
Note: |
As its name implies, IMAP allows you to access your email messages wherever you are; much of the time, it is accessed via the Internet. Basically, email messages are stored on servers. Whenever you check your inbox, your email client contacts the server to connect you with your messages. When you read an email message using IMAP, you aren't actually downloading or storing it on your computer; instead, you are reading it off of the server. As a result, it's possible to check your email from several different devices without missing a thing.

https://book.hacktricks.xyz/pentesting/pentesting-imap

Entry_2:
Name: Banner Grab
Description: Banner Grab 143
Command: nc -nv {IP} 143

Entry_3:
Name: Secure Banner Grab
Description: Banner Grab 993
Command: openssl s_client -connect {IP}:993 -quiet

Entry_4:
Name: consolesless mfs enumeration
Description: IMAP enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/imap/imap_version; set RHOSTS {IP}; set RPORT 143; run; exit'

最も重要な脆弱性を見つけて修正を迅速化します。Intruderは攻撃対象を追跡し、積極的な脅威スキャンを実行し、APIからWebアプリ、クラウドシステムまで、技術スタック全体で問題を見つけます。無料でお試しください 今すぐ。

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ htARTEHackTricks AWS Red Team Expert

HackTricksをサポートする他の方法