对 SMTP 服务器进行渗透测试

文章预览

扫码领资料 获网安教程 前言 如何对SMTP服务器进行渗透测试？国外白帽小哥 Shahmeer Amir 将在下文向您展示如何有效地对 SMTP 服务器进行渗透测试以获取信息和漏洞。 SMTP 是一种可以在大多数渗透测试场景中找到的服务。如果系统管理员未禁用 EXPN 和 VRFY 命令，此服务可以帮助渗透测试人员通过这些命令进行用户名枚举。有多种方法可以通过 SMTP 实现此枚举，本文将对此进行解释。 对 SMTP 服务器进行渗透测试 EXPN命令的作用是获取用户别名的实际地址和电子邮件列表以及VRFY，可以确认用户名是否存在以及是否有效。 SMTP 枚举可以通过 telnet 和 netcat 等实用程序手动执行，也可以通过 metasploit、nmap 和 smtp-user-enum 等各种工具自动执行。下图显示了如何使用 telnet 服务通过 VRFY 和 RCPT 命令枚举用户。 枚举 SMTP 用户 — Telnet 使用 RCPT 命令枚举用户 使用 Metasp ………………………………