SMTP Smuggling
Reading time: 3 minutes
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- VĂ©rifiez les plans d'abonnement !
- Rejoignez le đŹ groupe Discord ou le groupe telegram ou suivez nous sur Twitter đŠ @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépÎts github.
Informations de base
Ce type de vulnĂ©rabilitĂ© a Ă©tĂ© dĂ©couvert Ă l'origine dans ce post oĂč il est expliquĂ© qu'il est possible d'exploiter les diffĂ©rences dans la façon dont le protocole SMTP est interprĂ©tĂ© lors de la finalisation d'un email, permettant Ă un attaquant de faire passer plus d'emails dans le corps du lĂ©gitime, permettant d'usurper l'identitĂ© d'autres utilisateurs du domaine affectĂ© (comme admin@outlook.com) en contournant des dĂ©fenses telles que SPF.
Pourquoi
C'est parce que dans le protocole SMTP, les donnĂ©es du message Ă envoyer dans l'email sont contrĂŽlĂ©es par un utilisateur (attaquant) qui pourrait envoyer des donnĂ©es spĂ©cialement conçues en abusant des diffĂ©rences dans les analyseurs qui feront passer des emails supplĂ©mentaires dans le rĂ©cepteur. Jetez un Ćil Ă cet exemple illustrĂ© du post original :
 (1) (1) (1) (1).png)
Comment
Pour exploiter cette vulnĂ©rabilitĂ©, un attaquant doit envoyer des donnĂ©es que le serveur SMTP sortant pense ĂȘtre juste 1 email mais que le serveur SMTP entrant pense qu'il y a plusieurs emails.
Les chercheurs ont découvert que différents serveurs entrants considÚrent différents caractÚres comme la fin des données du message email que les serveurs sortants ne considÚrent pas.
Par exemple, une fin de données réguliÚre est \r\n.\r
. Mais si le serveur SMTP entrant prend Ă©galement en charge \n.
, un attaquant pourrait simplement ajouter ces données dans son email et commencer à indiquer les commandes SMTP de nouveaux emails à faire passer, tout comme dans l'image précédente.
Bien sûr, cela ne pourrait fonctionner que si le serveur SMTP sortant ne traite pas également ces données comme la fin des données du message, car dans ce cas, il verrait 2 emails au lieu d'un seul, donc à la fin, c'est la désynchronisation qui est exploitée dans cette vulnérabilité.
Données de désynchronisation potentielles :
\n.
\n.\r
Notez également que le SPF est contourné car si vous faites passer un email de admin@outlook.com
Ă partir d'un email de user@outlook.com
, l'expéditeur est toujours outlook.com
.
Références
tip
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Soutenir HackTricks
- VĂ©rifiez les plans d'abonnement !
- Rejoignez le đŹ groupe Discord ou le groupe telegram ou suivez nous sur Twitter đŠ @hacktricks_live.
- Partagez des astuces de hacking en soumettant des PRs au HackTricks et HackTricks Cloud dépÎts github.