web-dev-qa-db-ja.com

IMAPサーバーの検索と攻撃

セキュリティ上の課題のために、IMAPサービスを辞書攻撃することになっています。ヒドラを使ったかなりシンプルなエクササイズ。

これまでのところ失敗しました。メールサーバーではなく実際のウェブサイトにヒドラを指定したからです。サイトのメールサーバーを見つけるにはどうすればよいですか?何かのようなもの imap.example.com の代わりに example.com

ユーザー名もわかりません。ヒドラが期待するアカウントは@example.com終了?

編集1:

DigコマンドでbashCypherの手がかりをテストしました。これが登場: enter image description here

このpostmaster.xxx.comは私が探しているものですか?

これまで私に渡されたメインWebサイトを攻撃しようとしました。辞書とユーザー名を持つHydraはエラーを表示しませんでした。それは何時間も働き、pwdを見つけることはありませんでした。 pwdはかなり簡単なはずですが...

1
Mr.Sh4nnon

Dig(linux)を使用して、ドメインのメールサーバーDNSリストを確認できます。承認されたハニーポットだと聞いてうれしいです。幸運を。

Dig [domain] MX

例:

Dig google.com MX

; <<>> Dig 9.9.4-RedHat-9.9.4-18.el7_1.5 <<>> google.com MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27957
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 4, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      MX

;; ANSWER SECTION:
google.com.             600     IN      MX      50 alt4.aspmx.l.google.com.
google.com.             600     IN      MX      10 aspmx.l.google.com.
google.com.             600     IN      MX      20 alt1.aspmx.l.google.com.
google.com.             600     IN      MX      30 alt2.aspmx.l.google.com.
google.com.             600     IN      MX      40 alt3.aspmx.l.google.com

より多くのステップでNSlookupを使用することもできます。こちらをご覧ください:

https://technet.Microsoft.com/en-us/library/aa998082(v = exchg.65).aspx

0
bashCypher

まず第一に、侵入しようとしている情報システムの所有者から「ホワイトハット」/倫理的ハッキングを行うように命令されていない限り、インターネット上のランダムなターゲットを攻撃するように注意してください。そうしないと、民事および犯罪捜査の責任を負うことになります。

とは言っても、最初の直感は、DNSシステムを介してドメインのMX(SMTP)サーバーをルックアップするのと同じような方法でドメインのIMAPサーバーに通知する方法がないということです。

しかし〜がある;少なくとも一部のドメインでは。一部のドメインでは、自動設定メカニズムを使用して、サービスを使用する人々がMUAを簡単に設定できるようにしています。を見てみましょう

技術的な詳細については。 YMMV。

あなたの質問の2番目の部分への答えはほとんど同じです:

一部のシステムでは、ユーザーの電子メールアドレスをユーザー名として使用しますが、使用しないシステムもあります。ただし、問題のドメインがAutodiscoveryまたはAutoconfigのいずれかを使用するように構成されている場合、サービスは電子メールアドレスに属するユーザー名も通知します。

最初の私の警告を無視しないでください!自分を傷つける可能性があります。

1
TorstenS