Email Injections
Last updated
Last updated
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Το μήνυμα θα σταλεί στους λογαριασμούς του παραλήπτη και του παραλήπτη1.
Το μήνυμα θα σταλεί στον αρχικό παραλήπτη και στον λογαριασμό του επιτιθέμενου.
Ο ψεύτικος τίτλος θα προστεθεί στον αρχικό τίτλο και σε ορισμένες περιπτώσεις θα τον αντικαταστήσει. Εξαρτάται από τη συμπεριφορά της υπηρεσίας email.
Εισάγετε μια αλλαγή γραμμής δύο γραμμών, στη συνέχεια γράψτε το μήνυμά σας για να αλλάξετε το σώμα του μηνύματος.
Αυτή η ενότητα θα βασιστεί στο πώς να καταχραστεί αυτή η παράμετρος υποθέτοντας ότι ένας επιτιθέμενος την ελέγχει.
Αυτή η παράμετρος θα προστεθεί στη γραμμή εντολών που θα χρησιμοποιεί το PHP για να καλέσει το δυαδικό sendmail. Ωστόσο, θα καθαριστεί με τη λειτουργία escapeshellcmd($additional_parameters)
.
Ένας επιτιθέμενος μπορεί να εισάγει πρόσθετες παραμέτρους για το sendmail σε αυτή την περίπτωση.
Η διεπαφή sendmail παρέχεται από το λογισμικό MTA email (Sendmail, Postfix, Exim κ.λπ.) που είναι εγκατεστημένο στο σύστημα. Αν και η βασική λειτουργικότητα (όπως οι παράμετροι -t -i -f) παραμένει η ίδια για λόγους συμβατότητας, άλλες λειτουργίες και παράμετροι διαφέρουν σημαντικά ανάλογα με το MTA που είναι εγκατεστημένο.
Ακολουθούν μερικά παραδείγματα διαφορετικών σελίδων man της εντολής/διεπαφής sendmail:
Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
Postfix MTA: http://www.postfix.org/mailq.1.html
Exim MTA: https://linux.die.net/man/8/eximReferences
Ανάλογα με την προέλευση του δυαδικού sendmail, έχουν ανακαλυφθεί διαφορετικές επιλογές για να τις καταχραστούν και να διαρρεύσουν αρχεία ή ακόμα και να εκτελέσουν αυθαίρετες εντολές. Δείτε πώς στο https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
Σημειώστε ότι αν καταφέρετε να δημιουργήσετε έναν λογαριασμό σε μια υπηρεσία με αυθαίρετο όνομα τομέα (όπως Github, Gitlab, CloudFlare Zero trust...) και να τον επιβεβαιώσετε λαμβάνοντας το email επιβεβαίωσης στη διεύθυνση email σας, μπορεί να μπορέσετε να αποκτήσετε πρόσβαση σε ευαίσθητες τοποθεσίες της εταιρείας-θύματος
Οι συμβολισμοί: +, - και {} σε σπάνιες περιπτώσεις μπορούν να χρησιμοποιηθούν για tagging και αγνοούνται από τους περισσότερους διακομιστές email
Π.χ. john.doe+intigriti@example.com → john.doe@example.com
Σχόλια μεταξύ παρενθέσεων () στην αρχή ή στο τέλος θα αγνοηθούν επίσης
Π.χ. john.doe(intigriti)@example.com → john.doe@example.com
Μπορείτε επίσης να χρησιμοποιήσετε IPs ως ονόματα τομέα μεταξύ αγκυλών:
john.doe@[127.0.0.1]
john.doe@[IPv6:2001:db8::1]
Όπως εξηγήθηκε σε αυτή την έρευνα, τα ονόματα email μπορούν επίσης να περιέχουν κωδικοποιημένους χαρακτήρες:
PHP 256 overflow: Η λειτουργία PHP chr
θα συνεχίσει να προσθέτει 256 σε έναν χαρακτήρα μέχρι να γίνει θετικός και στη συνέχεια να εκτελέσει την επιχείρηση %256
.
String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @
Ο στόχος αυτού του κόλπου είναι να καταλήξετε με μια εισαγωγή όπως RCPT TO:<"collab@psres.net>collab"@example.com>
που θα στείλει το email επιβεβαίωσης σε μια διαφορετική διεύθυνση email από την αναμενόμενη (έτσι ώστε να εισαχθεί μια άλλη διεύθυνση email μέσα στο όνομα email και να σπάσει τη σύνταξη κατά την αποστολή του email)
Διαφορετικές κωδικοποιήσεις:
Payloads:
Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com
Σημειώστε τον κωδικοποιημένο @
ως =40, τον κωδικοποιημένο >
ως =3e
και το null ως =00
Θα στείλει το email επιβεβαίωσης στο collab@psres.net
Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com
Ίδιο κόλπο όπως πριν αλλά προσθέτοντας κάποιο κανονικό απόσπασμα στην αρχή και κωδικοποιημένο απόσπασμα =22
πριν από τον κωδικοποιημένο @
και στη συνέχεια ξεκινώντας και κλείνοντας κάποια αποσπάσματα πριν από το επόμενο email για να διορθωθεί η σύνταξη που χρησιμοποιείται εσωτερικά από το Zendesk
Θα στείλει το email επιβεβαίωσης στο collab@psres.net
Gitlab: =?x?q?collab=40psres.net_?=foo@example.com
Σημειώστε τη χρήση του υπογράμμου ως κενό για να διαχωρίσετε τη διεύθυνση
Θα στείλει το email επιβεβαίωσης στο collab@psres.net
Punycode: Χρησιμοποιώντας Punycode ήταν δυνατό να εισαχθεί μια ετικέτα <style
στο Joomla και να την κακοποιηθεί για να κλέψει το CSRF token μέσω CSS exfiltration.
Υπάρχει ένα Burp Suite Turbo Intruder script για να fuzz αυτές τις συνδυασμούς για να προσπαθήσετε να επιτεθείτε σε μορφές email. Το script έχει ήδη πιθανά λειτουργικούς συνδυασμούς.
Είναι επίσης δυνατό να χρησιμοποιήσετε το Hackvertor για να δημιουργήσετε μια επίθεση διαχωρισμού email
Ορισμένες υπηρεσίες όπως github ή salesforce επιτρέπουν να δημιουργήσετε μια διεύθυνση email με XSS payloads πάνω της. Αν μπορείτε να χρησιμοποιήσετε αυτούς τους παρόχους για να συνδεθείτε σε άλλες υπηρεσίες και αυτές οι υπηρεσίες δεν καθαρίζουν σωστά το email, θα μπορούσατε να προκαλέσετε XSS.
Αν μια υπηρεσία SSO σας επιτρέπει να δημιουργήσετε έναν λογαριασμό χωρίς να επαληθεύσετε τη δεδομένη διεύθυνση email (όπως salesforce) και στη συνέχεια μπορείτε να χρησιμοποιήσετε αυτόν τον λογαριασμό για να συνδεθείτε σε μια διαφορετική υπηρεσία που εμπιστεύεται τη salesforce, θα μπορούσατε να αποκτήσετε πρόσβαση σε οποιονδήποτε λογαριασμό. &#xNAN;Note ότι η salesforce υποδεικνύει αν το δεδομένο email ήταν ή όχι επαληθευμένο αλλά έτσι η εφαρμογή θα πρέπει να λάβει υπόψη αυτές τις πληροφορίες.
Μπορείτε να στείλετε ένα email χρησιμοποιώντας From: company.com και Replay-To: attacker.com και αν οποιαδήποτε αυτόματη απάντηση σταλεί λόγω του ότι το email στάλθηκε από μια εσωτερική διεύθυνση ο επιτιθέμενος μπορεί να είναι σε θέση να λάβει αυτήν την απάντηση.
Ορισμένες υπηρεσίες, όπως η AWS, εφαρμόζουν ένα όριο γνωστό ως Hard Bounce Rate, που συνήθως ορίζεται στο 10%. Αυτό είναι ένα κρίσιμο μέτρο, ειδικά για υπηρεσίες παράδοσης email. Όταν αυτό το ποσοστό ξεπεραστεί, η υπηρεσία, όπως η υπηρεσία email της AWS, μπορεί να ανασταλεί ή να αποκλειστεί.
Ένα hard bounce αναφέρεται σε ένα email που έχει επιστραφεί στον αποστολέα επειδή η διεύθυνση του παραλήπτη είναι άκυρη ή ανύπαρκτη. Αυτό μπορεί να συμβεί για διάφορους λόγους, όπως το email να έχει σταλεί σε μια ανύπαρκτη διεύθυνση, σε έναν τομέα που δεν είναι πραγματικός, ή η άρνηση του διακομιστή παραλήπτη να αποδεχτεί emails.
Στο πλαίσιο της AWS, αν στείλετε 1000 emails και 100 από αυτά έχουν ως αποτέλεσμα hard bounces (λόγω λόγων όπως άκυρες διευθύνσεις ή τομείς), αυτό θα σήμαινε ποσοστό hard bounce 10%. Η επίτευξη ή η υπέρβαση αυτού του ποσοστού μπορεί να προκαλέσει την AWS SES (Simple Email Service) να αποκλείσει ή να αναστείλει τις δυνατότητες αποστολής email σας.
Είναι κρίσιμο να διατηρείτε ένα χαμηλό ποσοστό hard bounce για να διασφαλίσετε αδιάλειπτη υπηρεσία email και να διατηρήσετε τη φήμη του αποστολέα. Η παρακολούθηση και η διαχείριση της ποιότητας των διευθύνσεων email στις λίστες αποστολής σας μπορεί να βοηθήσει σημαντικά στην επίτευξη αυτού.
Για περισσότερες λεπτομέρειες, μπορείτε να ανατρέξετε στην επίσημη τεκμηρίωση της AWS σχετικά με την αντιμετώπιση bounces και παραπόνων AWS SES Bounce Handling.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)