Email Injections
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane od strane najnaprednijih alata zajednice. Pribavite pristup danas:
Umetnite u poslatu e-poštu
Umetnite Cc i Bcc nakon argumenta pošiljaoca
Poruka će biti poslata na naloge recipient i recipient1.
Inject argument
Poruka će biti poslata originalnom primaocu i nalogu napadača.
Inject Subject argument
Lažni predmet će biti dodat originalnom predmetu i u nekim slučajevima će ga zameniti. To zavisi od ponašanja usluge e-pošte.
Promenite telo poruke
Ubaci dva nova reda, a zatim napiši svoju poruku da bi promenio telo poruke.
PHP mail() funkcija eksploatacija
Peti parametar ($additional_parameters)
Ovaj deo će se zasnivati na kako zloupotrebiti ovaj parametar pod pretpostavkom da napadač njime upravlja.
Ovaj parametar će biti dodat u komandnu liniju koju će PHP koristiti za pozivanje binarnog sendmail-a. Međutim, biće sanitizovan funkcijom escapeshellcmd($additional_parameters)
.
Napadač može ubaciti dodatne parametre za sendmail u ovom slučaju.
Razlike u implementaciji /usr/sbin/sendmail
sendmail interfejs je obezbeđen od strane MTA email softvera (Sendmail, Postfix, Exim itd.) instaliranog na sistemu. Iako osnovna funkcionalnost (kao što su -t -i -f parametri) ostaje ista iz razloga kompatibilnosti, druge funkcije i parametri se značajno razlikuju u zavisnosti od instaliranog MTA.
Evo nekoliko primera različitih man stranica za sendmail komandu/interfejs:
Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
Postfix MTA: http://www.postfix.org/mailq.1.html
Exim MTA: https://linux.die.net/man/8/eximReferences
U zavisnosti od izvora sendmail binarne datoteke otkrivene su različite opcije za zloupotrebu i curenje fajlova ili čak izvršavanje proizvoljnih komandi. Proverite kako u https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
Ubacivanje u ime e-pošte
Imajte na umu da ako uspete da kreirate nalog u servisu sa proizvoljnim imenom domena (kao što su Github, Gitlab, CloudFlare Zero trust...) i verifikujete ga primajući verifikacioni email na vašu adresu, možda ćete moći da pristupite osetljivim mestima kompanije žrtve
Ignorisani delovi e-pošte
Simboli: +, - i {} u retkim slučajevima mogu se koristiti za označavanje i ignorisati od strane većine e-mail servera
Npr. john.doe+intigriti@example.com → john.doe@example.com
Komentari između zagrada () na početku ili kraju će takođe biti ignorisani
Npr. john.doe(intigriti)@example.com → john.doe@example.com
Zaobilaženje bele liste
Citati
IP adrese
Takođe možete koristiti IP adrese kao imena domena između uglastih zagrada:
john.doe@[127.0.0.1]
john.doe@[IPv6:2001:db8::1]
Kodiranje e-pošte
Kao što je objašnjeno u ovoj studiji, imena e-pošte takođe mogu sadržati kodirane karaktere:
PHP 256 overflow: PHP
chr
funkcija će nastaviti dodavati 256 karakteru dok ne postane pozitivan, a zatim izvršiti operaciju%256
.String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @
Cilj ovog trika je da se završi sa injekcijom poput RCPT TO:<"collab@psres.net>collab"@example.com>
koja će poslati verifikacioni email na drugu email adresu od očekivane (tako da se unese druga email adresa unutar imena e-pošte i prekine sintaksa prilikom slanja email-a)
Različita kodiranja:
Payloads:
Github:
=?x?q?collab=40psres.net=3e=00?=foo@example.com
Napomena o kodiranom
@
kao =40, kodiranom>
kao=3e
inull
kao=00
Poslaće verifikacioni email na
collab@psres.net
Zendesk:
"=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com
Ista trik kao pre, ali dodajući neku običnu navodnu reč na početku i kodiranu navodnu reč
=22
pre kodiranog@
, a zatim otvarajući i zatvarajući neke navodne reči pre sledećeg emaila da bi se ispravila sintaksa koju koristi ZendeskPoslaće verifikacioni email na
collab@psres.net
Gitlab:
=?x?q?collab=40psres.net_?=foo@example.com
Napomena o korišćenju donje crte kao razmaka za razdvajanje adrese
Poslaće verifikacioni email na
collab@psres.net
Punycode: Korišćenjem Punycode-a bilo je moguće injektovati oznaku
<style
u Joomla i zloupotrebiti je za krađu CSRF tokena putem CSS eksfiltracije.
Tooling
Postoji Burp Suite Turbo Intruder skripta za fuzzing ovih vrsta kombinacija kako bi se pokušao napad na email formate. Skripta već ima potencijalno funkcionalne kombinacije.
Takođe je moguće koristiti Hackvertor za kreiranje napada deljenja emaila
Other vulns
Third party SSO
XSS
Neke usluge kao što su github ili salesforce omogućavaju vam da kreirate email adresu sa XSS payload-ima. Ako možete koristiti ove provajdere za prijavu na druge usluge i te usluge ne sanitizuju ispravno email, mogli biste izazvati XSS.
Account-Takeover
Ako SSO usluga omogućava da kreirate nalog bez verifikacije date email adrese (kao što je salesforce) i zatim možete koristiti taj nalog za prijavu na drugu uslugu koja veruje salesforce, mogli biste pristupiti bilo kojem nalogu. Napomena da salesforce označava da li je data email adresa verifikovana ili ne, ali takođe aplikacija treba uzeti u obzir ovu informaciju.
Reply-To
Možete poslati email koristeći From: company.com i Replay-To: attacker.com i ako se bilo koja automatska odgovor pošalje zbog toga što je email poslat sa internog adresa, napadač može biti u mogućnosti da primi taj odgovor.
Hard Bounce Rate
Određene usluge, kao što je AWS, implementiraju prag poznat kao Hard Bounce Rate, obično postavljen na 10%. Ovo je kritična metrika, posebno za usluge dostave emaila. Kada se ovaj procenat prekorači, usluga, kao što je AWS-ova usluga emaila, može biti suspendovana ili blokirana.
Hard bounce se odnosi na email koji je vraćen pošiljaocu jer je adresa primaoca nevažeća ili nepostojeća. Ovo se može dogoditi iz raznih razloga, kao što su email poslat na nepostojeću adresu, domen koji nije stvaran, ili odbijanje servera primaoca da prihvati emailove.
U kontekstu AWS-a, ako pošaljete 1000 emailova i 100 od njih rezultira hard bounce-ovima (zbog razloga kao što su nevažeće adrese ili domeni), to bi značilo 10% hard bounce rate. Dostizanje ili prekoračenje ovog procenta može pokrenuti AWS SES (Simple Email Service) da blokira ili suspenduje vaše mogućnosti slanja emaila.
Važno je održavati nizak hard bounce rate kako bi se osigurala neprekidna usluga emaila i održala reputacija pošiljaoca. Praćenje i upravljanje kvalitetom email adresa u vašim mailing listama može značajno pomoći u postizanju ovog cilja.
Za detaljnije informacije, može se konsultovati AWS-ova zvanična dokumentacija o upravljanju bounce-ovima i pritužbama AWS SES Bounce Handling.
References
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Last updated