SMTP Smuggling

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

Grundinformationen

Diese Art von Schwachstelle wurde ursprünglich in diesem Beitrag entdeckt, in dem erklärt wird, dass es möglich ist, Diskrepanzen in der Interpretation des SMTP-Protokolls beim Abschluss einer E-Mail auszunutzen, was es einem Angreifer ermöglicht, weitere E-Mails im Text der legitimen E-Mail zu schmuggeln und andere Benutzer der betroffenen Domain (wie admin@outlook.com) zu impersonieren, wodurch Verteidigungen wie SPF umgangen werden.

Warum

Das liegt daran, dass im SMTP-Protokoll die Daten der Nachricht, die in der E-Mail gesendet werden sollen, von einem Benutzer (Angreifer) kontrolliert werden, der speziell gestaltete Daten senden könnte, die Unterschiede in den Parsern ausnutzen, die zusätzliche E-Mails im Empfänger schmuggeln. Siehe dieses illustrierte Beispiel aus dem ursprünglichen Beitrag:

Wie

Um diese Schwachstelle auszunutzen, muss ein Angreifer einige Daten senden, die der Outbound SMTP-Server für nur 1 E-Mail hält, während der Inbound SMTP-Server denkt, dass es mehrere E-Mails gibt.

Die Forscher entdeckten, dass verschiedene Inbound-Server unterschiedliche Zeichen als das Ende der Daten der E-Mail-Nachricht betrachten, die Outbound-Server nicht tun. Zum Beispiel ist ein reguläres Ende der Daten \r\n.. Aber wenn der Inbound SMTP-Server auch \n. unterstützt, könnte ein Angreifer einfach diese Daten in seiner E-Mail hinzufügen und beginnen, die SMTP-Befehle neuer E-Mails anzugeben, um sie wie im vorherigen Bild zu schmuggeln.

Natürlich könnte dies nur funktionieren, wenn der Outbound SMTP-Server diese Daten nicht auch als das Ende der Nachrichtendaten behandelt, denn in diesem Fall würde er 2 E-Mails anstelle von nur 1 sehen, sodass dies letztendlich die Desynchronisation ist, die in dieser Schwachstelle ausgenutzt wird.

Potenzielle Desynchronisationsdaten:

\n.
\n.

Beachte auch, dass SPF umgangen wird, denn wenn du eine E-Mail von admin@outlook.com von einer E-Mail von user@outlook.com schmuggelst, ist der Absender immer noch outlook.com.

Referenzen

https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/

Support HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs zu den HackTricks und HackTricks Cloud GitHub-Repos einreichst.

Previous25,465,587 - Pentesting SMTP/s NextSMTP - Commands

Last updated 5 days ago

Grundinformationen

Warum

Wie

Potenzielle Desynchronisationsdaten:

\n.

Beachte auch, dass SPF umgangen wird, denn wenn du eine E-Mail von admin@outlook.com von einer E-Mail von user@outlook.com schmuggelst, ist der Absender immer noch outlook.com.