IMAP/POP3

Introduce

在Internet Massage Access Protocol-互联网消息访问协议（IMAP）的帮助下，可以从邮件服务器上访问电子邮件。与Office Protocol - 邮件协议（POP3）不同，IMAP 允许直接在服务器上在线管理电子邮件，并支持文件夹结构。因此，它是一种在远程服务器上在线管理电子邮件的网络协议。该协议以客户端-服务器为基础，允许本地电子邮件客户端与服务器上的邮箱同步，为电子邮件提供了一种网络文件系统，允许在多个独立客户端之间进行无故障同步。而 POP3 则不具备 IMAP 的功能，它只能在电子邮件服务器上提供列表、检索和删除电子邮件的功能。因此，必须使用 IMAP 等协议来实现其他功能，如直接在邮件服务器上建立分层邮箱、在会话期间访问多个邮箱以及预选邮件。

客户端可在线访问这些结构，并可创建本地副本。即使在多个客户端之间，也能形成统一的数据库。电子邮件一直保留在服务器上，直到被删除。IMAP 基于文本，具有扩展功能，如直接在服务器上浏览电子邮件。多个用户还可以同时访问电子邮件服务器。如果没有与服务器的活动连接，就无法管理电子邮件。不过，有些客户端提供离线模式和邮箱的本地副本。当重新建立连接时，客户端会同步所有离线本地更改。

客户端通过端口建立与服务器的连接143。为了进行通信，它使用基于文本的命令ASCII格式。可以连续发送多个命令，无需等待服务器确认。可以使用与命令一起发送的标识符将来自服务器的后续确认分配给各个命令。连接建立后，用户将立即通过服务器的用户名和密码进行身份验证。只有成功验证后才能访问所需的邮箱。

SMTP 通常用于发送电子邮件。通过将已发送的电子邮件复制到 IMAP 文件夹中，所有客户端都可以访问所有已发送的邮件，无论邮件是从哪台计算机发送的。Internet Massage Access Protocol 的另一个优点是在邮箱中创建个人文件夹和文件夹结构。此功能使邮箱更加清晰，更易于管理。然而，电子邮件服务器上的存储空间要求增加。

如果不采取进一步措施，IMAP 将以未加密的方式工作，并以纯文本形式传输命令、电子邮件或用户名和密码。许多电子邮件服务器需要建立加密的 IMAP 会话，以确保电子邮件流量的更高安全性并防止对邮箱进行未经授权的访问。SSL/TLS 通常用于此目的。根据所使用的方法和实现，加密连接使用标准端口143或替代端口，例如993

默认配置

IMAP 和 POP3 都有大量的配置选项，因此很难深入研究每个组件的更多细节。如果你想深入研究这些协议配置，我们建议你在本地创建一个虚拟机，并使用 apt 安装 dovecot-imapd 和 dovecot-pop3d 这两个软件包，然后进行配置和实验。

在 Dovecot 的文档中，我们可以找到可用于我们实验的各个核心设置和服务配置选项。不过，让我们看一下命令列表，看看如何使用命令行直接与 IMAP 和 POP3 交互和通信。

IMAP 命令

命令

描述

1 LOGIN username password

用户的登录。

1 LIST "" *

列出所有目录。

1 CREATE "INBOX"

创建具有指定名称的邮箱。

1 DELETE "INBOX"

删除邮箱。

1 RENAME "ToRead" "Important"

重命名邮箱。

1 LSUB "" *

active返回用户声明为或的名称集中的名称子集subscribed。

1 SELECT INBOX

选择一个邮箱，以便可以访问该邮箱中的邮件。

1 UNSELECT INBOX

退出选定的邮箱。

1 FETCH <ID> all

检索与邮箱中的邮件关联的数据。

1 CLOSE

删除所有Deleted设置了该标志的消息。

1 LOGOUT

关闭与 IMAP 服务器的连接。

POP3 命令

命令

描述

USER username

识别用户。

PASS password

使用密码对用户进行身份验证。

STAT

从服务器请求已保存电子邮件的数量。

LIST

从服务器请求所有电子邮件的数量和大小。

RETR id

请求服务器通过 ID 传送所请求的电子邮件。

DELE id

请求服务器根据ID删除所请求的电子邮件。

CAPA

请求服务器显示服务器功能。

RSET

请求服务器重置传输的信息。

QUIT

关闭与 POP3 服务器的连接。

危险环境

然而，配置不当的配置选项可能会让我们获得更多信息，例如调试服务上执行的命令或以匿名身份登录，类似于 FTP 服务。大多数公司使用第三方电子邮件提供商，例如 Google、Microsoft 等。然而，由于许多不同的原因，一些公司仍然使用自己的邮件服务器。这些原因之一是维护他们想要保留在自己手中的隐私。管理员可能会犯许多配置错误，在最坏的情况下，这将使我们能够阅读发送和接收的所有电子邮件，其中甚至可能包含机密或敏感信息。其中一些配置选项包括：

环境

描述

auth_debug

启用所有身份验证调试日志记录。

auth_debug_passwords

此设置调整日志详细程度、提交的密码以及记录方案。

auth_verbose

记录不成功的身份验证尝试及其原因。

auth_verbose_passwords

用于身份验证的密码会被记录，也可以被截断。

auth_anonymous_username

这指定使用 ANONYMOUS SASL 机制登录时要使用的用户名。

Footprinting The Server - 足迹服务

默认情况下，端口110、143、993和995用于 IMAP 和 POP3。两个较高的端口用于TLS/SSL加密客户端和服务器之间的通信。使用 Nmap，我们可以扫描服务器上的这些端口。如果服务器使用嵌入式 SSL 证书，扫描将返回相应的信息，如下所示。

nmap

IMAP/POP3

AcesMin@htb[/htb]$ sudo nmap 10.129.14.128 -sV -p110,143,993,995 -sC

Starting Nmap 7.80 ( https://nmap.org ) at 2021-09-19 22:09 CEST
Nmap scan report for 10.129.14.128
Host is up (0.00026s latency).

PORT    STATE SERVICE  VERSION
110/tcp open  pop3     Dovecot pop3d
|_pop3-capabilities: AUTH-RESP-CODE SASL STLS TOP UIDL RESP-CODES CAPA PIPELINING
| ssl-cert: Subject: commonName=mail1.inlanefreight.htb/organizationName=Inlanefreight/stateOrProvinceName=California/countryName=US
| Not valid before: 2021-09-19T19:44:58
|_Not valid after:  2295-07-04T19:44:58
143/tcp open  imap     Dovecot imapd
|_imap-capabilities: more have post-login STARTTLS Pre-login capabilities LITERAL+ LOGIN-REFERRALS OK LOGINDISABLEDA0001 SASL-IR ENABLE listed IDLE ID IMAP4rev1
| ssl-cert: Subject: commonName=mail1.inlanefreight.htb/organizationName=Inlanefreight/stateOrProvinceName=California/countryName=US
| Not valid before: 2021-09-19T19:44:58
|_Not valid after:  2295-07-04T19:44:58
993/tcp open  ssl/imap Dovecot imapd
|_imap-capabilities: more have post-login OK capabilities LITERAL+ LOGIN-REFERRALS Pre-login AUTH=PLAINA0001 SASL-IR ENABLE listed IDLE ID IMAP4rev1
| ssl-cert: Subject: commonName=mail1.inlanefreight.htb/organizationName=Inlanefreight/stateOrProvinceName=California/countryName=US
| Not valid before: 2021-09-19T19:44:58
|_Not valid after:  2295-07-04T19:44:58
995/tcp open  ssl/pop3 Dovecot pop3d
|_pop3-capabilities: AUTH-RESP-CODE USER SASL(PLAIN) TOP UIDL RESP-CODES CAPA PIPELINING
| ssl-cert: Subject: commonName=mail1.inlanefreight.htb/organizationName=Inlanefreight/stateOrProvinceName=California/countryName=US
| Not valid before: 2021-09-19T19:44:58
|_Not valid after:  2295-07-04T19:44:58
MAC Address: 00:00:00:00:00:00 (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.74 seconds

例如，从输出中我们可以看到通用名称为mail1.inlanefreight.htb，电子邮件服务器属于组织Inlanefreight，该组织位于加利福尼亚州。显示的功能向我们展示了服务器上可用的命令以及相应端口上的服务。

如果我们成功地找出其中一名员工的访问凭据，攻击者就可以登录邮件服务器并阅读甚至发送单独的消息。

cURL

// IMAP/POP3
AcesMin@htb[/htb]$ curl -k 'imaps://10.129.14.128' --user user:p4ssw0rd

* LIST (\HasNoChildren) "." Important
* LIST (\HasNoChildren) "." INBOX

如果我们还使用verbose( -v) 选项，我们将看到如何建立连接。从中，我们可以看到用于加密的 TLS 版本、SSL 证书的更多详细信息，甚至横幅，其中通常包含邮件服务器的版本。

// IMAP/POP3
AcesMin@htb[/htb]$ curl -k 'imaps://10.129.14.128' --user cry0l1t3:1234 -v

*   Trying 10.129.14.128:993...
* TCP_NODELAY set
* Connected to 10.129.14.128 (10.129.14.128) port 993 (#0)
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* Server certificate:
*  subject: C=US; ST=California; L=Sacramento; O=Inlanefreight; OU=Customer Support; CN=mail1.inlanefreight.htb; [email protected]
*  start date: Sep 19 19:44:58 2021 GMT
*  expire date: Jul  4 19:44:58 2295 GMT
*  issuer: C=US; ST=California; L=Sacramento; O=Inlanefreight; OU=Customer Support; CN=mail1.inlanefreight.htb; [email protected]
*  SSL certificate verify result: self signed certificate (18), continuing anyway.
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* old SSL session ID is stale, removing
< * OK [CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN] HTB-Academy IMAP4 v.0.21.4
> A001 CAPABILITY
< * CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN
< A001 OK Pre-login capabilities listed, post-login capabilities have more.
> A002 AUTHENTICATE PLAIN AGNyeTBsMXQzADEyMzQ=
< * CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS THREAD=ORDEREDSUBJECT MULTIAPPEND URL-PARTIAL CATENATE UNSELECT CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS BINARY MOVE SNIPPET=FUZZY PREVIEW=FUZZY LITERAL+ NOTIFY SPECIAL-USE
< A002 OK Logged in
> A003 LIST "" *
< * LIST (\HasNoChildren) "." Important
* LIST (\HasNoChildren) "." Important
< * LIST (\HasNoChildren) "." INBOX
* LIST (\HasNoChildren) "." INBOX
< A003 OK List completed (0.001 + 0.000 secs).
* Connection #0 to host 10.129.14.128 left intact

要通过 SSL 与 IMAP 或 POP3 服务器交互，我们可以使用openssl, 以及ncat。其命令如下所示：

OpenSSL - TLS 加密交互 POP3

// IMAP/POP3
AcesMin@htb[/htb]$ openssl s_client -connect 10.129.14.128:pop3s

CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb, emailAddress = [email protected]
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb, emailAddress = [email protected]
verify return:1
---
Certificate chain
 0 s:C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb, emailAddress = [email protected]

...SNIP...

---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 3CC39A7F2928B252EF2FFA5462140B1A0A74B29D4708AA8DE1515BB4033D92C2
    Session-ID-ctx:
    Resumption PSK: 68419D933B5FEBD878FF1BA399A926813BEA3652555E05F0EC75D65819A263AA25FA672F8974C37F6446446BB7EA83F9
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - d7 86 ac 7e f3 f4 95 35-88 40 a5 b5 d6 a6 41 e4   [email protected].
    0010 - 96 6c e6 12 4f 50 ce 72-36 25 df e1 72 d9 23 94   .l..OP.r6%..r.#.
    0020 - cc 29 90 08 58 1b 57 ab-db a8 6b f7 8f 31 5b ad   .)..X.W...k..1[.
    0030 - 47 94 f4 67 58 1f 96 d9-ca ca 56 f9 7a 12 f6 6d   G..gX.....V.z..m
    0040 - 43 b9 b6 68 de db b2 47-4f 9f 48 14 40 45 8f 89   C..h...GO.H.@E..
    0050 - fa 19 35 9c 6d 3c a1 46-5c a2 65 ab 87 a4 fd 5e   ..5.m<.F\.e....^
    0060 - a2 95 25 d4 43 b8 71 70-40 6c fe 6f 0e d1 a0 38   ..%[email protected]
    0070 - 6e bd 73 91 ed 05 89 83-f5 3e d9 2a e0 2e 96 f8   n.s......>.*....
    0080 - 99 f0 50 15 e0 1b 66 db-7c 9f 10 80 4a a1 8b 24   ..P...f.|...J..$
    0090 - bb 00 03 d4 93 2b d9 95-64 44 5b c2 6b 2e 01 b5   .....+..dD[.k...
    00a0 - e8 1b f4 a4 98 a7 7a 7d-0a 80 cc 0a ad fe 6e b3   ......z}......n.
    00b0 - 0a d6 50 5d fd 9a b4 5c-28 a4 c9 36 e4 7d 2a 1e   ..P]...\(..6.}*.

    Start Time: 1632081313
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
+OK HTB-Academy POP3 Server

OpenSSL - TLS 加密交互 IMAP

AcesMin@htb[/htb]$ openssl s_client -connect 10.129.14.128:imaps

CONNECTED(00000003)
Can't use SSL_get_servername
depth=0 C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb, emailAddress = [email protected]
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb, emailAddress = [email protected]
verify return:1
---
Certificate chain
 0 s:C = US, ST = California, L = Sacramento, O = Inlanefreight, OU = Customer Support, CN = mail1.inlanefreight.htb, emailAddress = [email protected]

...SNIP...

---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 2B7148CD1B7B92BA123E06E22831FCD3B365A5EA06B2CDEF1A5F397177130699
    Session-ID-ctx:
    Resumption PSK: 4D9F082C6660646C39135F9996DDA2C199C4F7E75D65FA5303F4A0B274D78CC5BD3416C8AF50B31A34EC022B619CC633
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 7200 (seconds)
    TLS session ticket:
    0000 - 68 3b b6 68 ff 85 95 7c-8a 8a 16 b2 97 1c 72 24   h;.h...|......r$
    0010 - 62 a7 84 ff c3 24 ab 99-de 45 60 26 e7 04 4a 7d   b....$...E`&..J}
    0020 - bc 6e 06 a0 ff f7 d7 41-b5 1b 49 9c 9f 36 40 8d   .n.....A..I..6@.
    0030 - 93 35 ed d9 eb 1f 14 d7-a5 f6 3f c8 52 fb 9f 29   .5........?.R..)
    0040 - 89 8d de e6 46 95 b3 32-48 80 19 bc 46 36 cb eb   ....F..2H...F6..
    0050 - 35 79 54 4c 57 f8 ee 55-06 e3 59 7f 5e 64 85 b0   5yTLW..U..Y.^d..
    0060 - f3 a4 8c a6 b6 47 e4 59-ee c9 ab 54 a4 ab 8c 01   .....G.Y...T....
    0070 - 56 bb b9 bb 3b f6 96 74-16 c9 66 e2 6c 28 c6 12   V...;..t..f.l(..
    0080 - 34 c7 63 6b ff 71 16 7f-91 69 dc 38 7a 47 46 ec   4.ck.q...i.8zGF.
    0090 - 67 b7 a2 90 8b 31 58 a0-4f 57 30 6a b6 2e 3a 21   g....1X.OW0j..:!
    00a0 - 54 c7 ba f0 a9 74 13 11-d5 d1 ec cc ea f9 54 7d   T....t........T}
    00b0 - 46 a6 33 ed 5d 24 ed b0-20 63 43 d8 8f 14 4d 62   F.3.]$.. cC...Mb

    Start Time: 1632081604
    Timeout   : 7200 (sec)
    Verify return code: 18 (self signed certificate)
    Extended master secret: no
    Max Early Data: 0
---
read R BLOCK
* OK [CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ AUTH=PLAIN] HTB-Academy IMAP4 v.0.21.4

一旦成功启动连接并登录到目标邮件服务器，我们就可以使用上述命令来操作和浏览服务器了。我们要指出的是，通过配置自己的邮件服务器、对其进行研究以及与其他社区成员一起进行实验，我们就能掌握诀窍，了解正在进行的通信以及哪些配置选项对此负责。

上一页SNMP - Simple Network Management Protocol 下一页长亭雷池（WAF）

最后更新于1年前

这有帮助吗？