143, 993, 110, 995 - IMAP, POP3

IMAP (Internet Message Access Protocol) und POP3 (Post Office Protocol Version 3) sind zwei Protokolle, die zur Verwaltung von E-Mails auf einem Server verwendet werden. Der Hauptunterschied zwischen ihnen besteht darin, dass IMAP eine vollständige Verwaltung und Synchronisation von E-Mails direkt auf dem Server ermöglicht, während POP3 sich nur auf das Abrufen und Löschen von E-Mails beschränkt.

  • IMAP (Port 143, verschlüsselt: 993): Ermöglicht das Verwalten von E-Mails auf dem Server, inklusive Ordnerstrukturen, Mehrbenutzerzugriff und Synchronisation auf mehreren Clients.

  • POP3 (Port 110, verschlüsselt: 995): Ist einfacher und erlaubt das Herunterladen und Löschen von E-Mails. Es bietet keine Funktionen zur Synchronisation oder Verwaltung von Ordnern.

Ohne Verschlüsselung sind beide Protokolle anfällig, da sie Informationen, einschließlich Benutzername und Passwort, im Klartext übertragen. TLS/SSL-Verschlüsselung (Ports 993/995) schützt diese Kommunikation.

Gefährliche Einstellungen (Dangerous Settings)

Falsch konfigurierte E-Mail-Server können Angreifern leicht Zugang zu sensiblen Informationen ermöglichen. Folgende gefährliche Konfigurationen sollten besonders beachtet werden:

Einstellung

Beschreibung

auth_debug

Aktiviert ausführliches Debugging bei der Authentifizierung.

auth_debug_passwords

Protokolliert übermittelte Passwörter und ihre Hash-Verfahren, was bei Fehlkonfiguration zur Offenlegung von Passwörtern führen kann.

auth_verbose

Protokolliert fehlgeschlagene Anmeldeversuche und deren Ursachen, was Angreifern helfen könnte, gültige Benutzernamen zu ermitteln.

auth_verbose_passwords

Protokolliert Passwörter (ggf. gekürzt), was zu erheblichen Sicherheitslücken führen kann.

auth_anonymous_username

Erlaubt anonymen Login über SASL-Mechanismus, was ausgenutzt werden könnte, um sich unerlaubten Zugriff zu verschaffen.

Grundlegende IMAP- und POP3-Befehle

IMAP Befehle

Befehl

Beschreibung

LOGIN username password

Anmeldung mit Benutzername und Passwort.

LIST "" *

Listet alle Mailboxen auf.

CREATE "INBOX"

Erstellt eine neue Mailbox.

DELETE "INBOX"

Löscht eine Mailbox.

SELECT INBOX

Wählt eine Mailbox aus, um Nachrichten zu lesen.

FETCH <ID> all

Ruft alle Daten einer Nachricht ab.

LOGOUT

Beendet die Verbindung.

POP3 Befehle

Befehl

Beschreibung

USER username

Gibt den Benutzernamen an.

PASS password

Authentifizierung mit Passwort.

STAT

Ruft die Anzahl der gespeicherten Nachrichten ab.

LIST

Listet alle Nachrichten mit Größenangaben.

RETR id

Ruft eine Nachricht mit der ID ab.

DELE id

Löscht eine Nachricht.

QUIT

Beendet die Verbindung.

Schritt-für-Schritt Abfolge eines Penetrationstests

1. Enumeration

Der erste Schritt in einem Penetrationstest ist das Scannen der Zielserver auf die offenen IMAP- und POP3-Ports sowie die Dienste und SSL-Zertifikate. Nmap bietet dafür eine ideale Plattform.

$ sudo nmap 10.129.14.128 -sV -p110,143,993,995 -sC
PORT    STATE SERVICE  VERSION
110/tcp open  pop3     Dovecot pop3d
143/tcp open  imap     Dovecot imapd
993/tcp open  ssl/imap Dovecot imapd
995/tcp open  ssl/pop3 Dovecot pop3d

  • Ports 110/143: Standard POP3/IMAP-Ports ohne Verschlüsselung.

  • Ports 993/995: SSL/TLS-verschlüsselte Verbindungen.

  • SSL-Zertifikate: Zeigen Details zum Zertifikat (Common Name, Gültigkeitsdauer), die Rückschlüsse auf die Organisation oder das Zielsystem erlauben.

2. Exploitation

Sobald offene IMAP/POP3-Ports gefunden sind, können verschiedene Methoden angewendet werden, um weiter vorzudringen:

  1. cURL für IMAP/POP3-Abfragen: Mit cURL kann eine Verbindung zu einem IMAP/POP3-Server hergestellt werden, um Nachrichten aufzulisten oder sogar Anmeldedaten zu testen.

    $ curl -k 'imaps://10.129.14.128' --user user:p4ssw0rd

  2. OpenSSL zur Interaktion mit verschlüsselten Verbindungen: Um die SSL-Verbindung zu überprüfen und die Verschlüsselung zu testen, kann OpenSSL verwendet werden.

    $ openssl s_client -connect 10.129.14.128:imaps
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb
verify error:num=18:self signed certificate
+OK [CAPABILITY IMAP4rev1] HTB-Academy IMAP4 v.0.21.4

    Hier kann der Angreifer das selbstsignierte Zertifikat und die unterstützten IMAP-Befehle sehen.

  3. Brute-Force-Angriffe mit Tools wie Hydra: Wenn keine Sperrmechanismen aktiviert sind, kann ein Angreifer versuchen, Zugangsdaten per Brute-Force herauszufinden.

    $ hydra -l user -P /path/to/passwords.txt imap://10.129.14.128

Ergänzende Tools

Zusätzlich zu den oben erwähnten Methoden können folgende Tools verwendet werden:

  • Wireshark: Zum Mitschneiden und Analysieren unverschlüsselter E-Mail-Kommunikation.

  • Hydra: Zum Brute-Forcing von IMAP- oder POP3-Diensten.

  • Metasploit: Enthält Module für IMAP/POP3-Exploits, um Schwachstellen automatisiert zu testen.

Previous139, 445 - SMBNext1433 - MSSQL

Last updated