Email Injections
Last updated
Last updated
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Wiadomość zostanie wysłana do kont odbiorcy i odbiorcy1.
Wiadomość zostanie wysłana do oryginalnego odbiorcy oraz konta atakującego.
Fałszywy temat zostanie dodany do oryginalnego tematu, a w niektórych przypadkach go zastąpi. Zależy to od zachowania usługi pocztowej.
Wstrzyknij dwa znaki nowej linii, a następnie napisz swoją wiadomość, aby zmienić treść wiadomości.
Ta sekcja będzie oparta na tym, jak nadużyć ten parametr, zakładając, że atakujący go kontroluje.
Ten parametr zostanie dodany do linii poleceń, którą PHP będzie używać do wywołania binarnego sendmail. Zostanie jednak oczyszczony za pomocą funkcji escapeshellcmd($additional_parameters)
.
Atakujący może wstrzyknąć dodatkowe parametry dla sendmail w tym przypadku.
Interfejs sendmail jest dostarczany przez oprogramowanie MTA email (Sendmail, Postfix, Exim itp.) zainstalowane w systemie. Chociaż podstawowa funkcjonalność (taka jak parametry -t -i -f) pozostaje taka sama z powodów zgodności, inne funkcje i parametry znacznie się różnią w zależności od zainstalowanego MTA.
Oto kilka przykładów różnych stron podręcznika poleceń sendmail:
Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
Postfix MTA: http://www.postfix.org/mailq.1.html
Exim MTA: https://linux.die.net/man/8/eximReferences
W zależności od pochodzenia binarnego sendmail odkryto różne opcje, aby je nadużyć i wyciekować pliki lub nawet wykonywać dowolne polecenia. Sprawdź jak w https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
Zauważ, że jeśli uda ci się założyć konto w usłudze z dowolną nazwą domeny (taką jak Github, Gitlab, CloudFlare Zero trust...) i zweryfikować je, otrzymując e-mail weryfikacyjny na swój adres e-mail, możesz uzyskać dostęp do wrażliwych lokalizacji firmy ofiary
Symbole: +, - i {} w rzadkich przypadkach mogą być używane do tagowania i są ignorowane przez większość serwerów e-mail
Np. john.doe+intigriti@example.com → john.doe@example.com
Komentarze w nawiasach () na początku lub na końcu również będą ignorowane
Np. john.doe(intigriti)@example.com → john.doe@example.com
Możesz również używać adresów IP jako nazw domenowych w nawiasach kwadratowych:
john.doe@[127.0.0.1]
john.doe@[IPv6:2001:db8::1]
Jak wyjaśniono w tych badaniach, nazwy e-maili mogą również zawierać zakodowane znaki:
PHP 256 overflow: Funkcja PHP chr
będzie nadal dodawać 256 do znaku, aż stanie się dodatnia, a następnie wykona operację %256
.
String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @
Celem tego triku jest zakończenie wstrzyknięciem takim jak RCPT TO:<"collab@psres.net>collab"@example.com>
co spowoduje wysłanie e-maila weryfikacyjnego na inny adres e-mail niż oczekiwany (w ten sposób wprowadza się inny adres e-mail wewnątrz nazwy e-mail i łamie składnię podczas wysyłania e-maila)
Różne kodowania:
Payloads:
Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com
Zauważ zakodowane @
jako =40, zakodowane >
jako =3e
i null jako =00
Wyśle e-mail weryfikacyjny na collab@psres.net
Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com
Ta sama sztuczka co wcześniej, ale dodając zwykły cudzysłów na początku i zakodowany cudzysłów =22
przed zakodowanym @
, a następnie otwierając i zamykając cudzysłowy przed następnym e-mailem, aby naprawić składnię używaną wewnętrznie przez Zendesk
Wyśle e-mail weryfikacyjny na collab@psres.net
Gitlab: =?x?q?collab=40psres.net_?=foo@example.com
Zauważ użycie podkreślenia jako spacji do oddzielenia adresu
Wyśle e-mail weryfikacyjny na collab@psres.net
Punycode: Używając Punycode, możliwe było wstrzyknięcie tagu <style
w Joomla i nadużycie go do kradzieży tokenu CSRF za pomocą eksfiltracji CSS.
Istnieje skrypt Burp Suite Turbo Intruder, aby fuzzować tego rodzaju kombinacje, aby spróbować zaatakować formaty e-maili. Skrypt ma już potencjalnie działające kombinacje.
Możliwe jest również użycie Hackvertor do stworzenia ataku dzielącego e-maile
Niektóre usługi, takie jak github lub salesforce, pozwalają na stworzenie adresu e-mail z ładunkami XSS. Jeśli możesz użyć tych dostawców do logowania się do innych usług i te usługi nie sanitizują poprawnie e-maila, możesz spowodować XSS.
Jeśli usługa SSO pozwala na stworzenie konta bez weryfikacji podanego adresu e-mail (jak salesforce) i następnie możesz użyć tego konta do logowania się do innej usługi, która ufa salesforce, możesz uzyskać dostęp do dowolnego konta. &#xNAN;Note, że salesforce wskazuje, czy podany e-mail był weryfikowany, ale aplikacja powinna wziąć pod uwagę te informacje.
Możesz wysłać e-mail używając From: company.com i Replay-To: attacker.com, a jeśli jakakolwiek automatyczna odpowiedź zostanie wysłana z powodu, że e-mail został wysłany z wewnętrznego adresu, atakujący może być w stanie otrzymać tę odpowiedź.
Niektóre usługi, takie jak AWS, implementują próg znany jako Wskaźnik twardych odbić, zazwyczaj ustawiony na 10%. To krytyczna metryka, szczególnie dla usług dostarczania e-maili. Gdy ten wskaźnik zostanie przekroczony, usługa, taka jak usługa e-mailowa AWS, może zostać zawieszona lub zablokowana.
Twarde odbicie odnosi się do e-maila, który został zwrócony do nadawcy, ponieważ adres odbiorcy jest nieprawidłowy lub nieistniejący. Może to wystąpić z różnych powodów, takich jak e-mail wysłany na nieistniejący adres, domenę, która nie jest rzeczywista, lub odmowa serwera odbiorcy przyjęcia e-maili.
W kontekście AWS, jeśli wyślesz 1000 e-maili, a 100 z nich skutkuje twardymi odbiciami (z powodu takich powodów jak nieprawidłowe adresy lub domeny), oznacza to wskaźnik twardych odbić na poziomie 10%. Osiągnięcie lub przekroczenie tego wskaźnika może spowodować zablokowanie lub zawieszenie możliwości wysyłania e-maili przez AWS SES (Simple Email Service).
Ważne jest, aby utrzymać niski wskaźnik twardych odbić, aby zapewnić nieprzerwaną usługę e-mailową i utrzymać reputację nadawcy. Monitorowanie i zarządzanie jakością adresów e-mail w twoich listach mailingowych może znacznie pomóc w osiągnięciu tego.
Aby uzyskać bardziej szczegółowe informacje, można odwołać się do oficjalnej dokumentacji AWS dotyczącej obsługi odbić i skarg AWS SES Bounce Handling.
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)