Email Injections
Last updated
Last updated
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
Poruka će biti poslata na naloge recipient i recipient1.
Poruka će biti poslata originalnom primaocu i nalogu napadača.
Lažni predmet će biti dodat originalnom predmetu i u nekim slučajevima će ga zameniti. To zavisi od ponašanja usluge e-pošte.
Ubaci dva nova reda, a zatim napiši svoju poruku da bi promenio telo poruke.
Ovaj deo će se zasnivati na kako zloupotrebiti ovaj parametar pod pretpostavkom da napadač kontroliše.
Ovaj parametar će biti dodat u komandnu liniju koju će PHP koristiti za pozivanje binarnog sendmail-a. Međutim, biće sanitizovan funkcijom escapeshellcmd($additional_parameters)
.
Napadač može ubaciti dodatne parametre za sendmail u ovom slučaju.
sendmail interfejs je obezbeđen od strane MTA email softvera (Sendmail, Postfix, Exim itd.) instaliranog na sistemu. Iako osnovna funkcionalnost (kao što su -t -i -f parametri) ostaje ista iz razloga kompatibilnosti, druge funkcije i parametri se značajno razlikuju u zavisnosti od instaliranog MTA.
Evo nekoliko primera različitih man stranica za sendmail komandu/interfejs:
Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
Postfix MTA: http://www.postfix.org/mailq.1.html
Exim MTA: https://linux.die.net/man/8/eximReferences
U zavisnosti od izvora sendmail binarne datoteke otkrivene su različite opcije za zloupotrebu i curenje fajlova ili čak izvršavanje proizvoljnih komandi. Proverite kako u https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
Imajte na umu da ako uspete da kreirate nalog u servisu sa proizvoljnim imenom domena (kao što su Github, Gitlab, CloudFlare Zero trust...) i verifikujete ga primajući verifikacioni email na vašu adresu, možda ćete moći da pristupite osetljivim mestima kompanije žrtve.
Simboli: +, - i {} u retkim slučajevima mogu se koristiti za označavanje i većina e-mail servera ih ignoriše.
Npr. john.doe+intigriti@example.com → john.doe@example.com
Komentari između zagrada () na početku ili kraju će takođe biti ignorisani.
Npr. john.doe(intigriti)@example.com → john.doe@example.com
Takođe možete koristiti IP adrese kao imena domena između uglastih zagrada:
john.doe@[127.0.0.1]
john.doe@[IPv6:2001:db8::1]
Kao što je objašnjeno u ovoj studiji, imena e-pošte takođe mogu sadržati kodirane karaktere:
PHP 256 overflow: PHP chr
funkcija će nastaviti da dodaje 256 karakteru dok ne postane pozitivan, a zatim izvršiti operaciju %256
.
String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @
Cilj ovog trika je da se završi sa injekcijom poput RCPT TO:<"collab@psres.net>collab"@example.com>
koja će poslati verifikacioni email na drugu adresu e-pošte od očekivane (tako da se unese druga adresa e-pošte unutar imena e-pošte i prekine sintaksa prilikom slanja e-pošte).
Različita kodiranja:
Payloads:
Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com
Napomena o kodiranom @
kao =40, kodiranom >
kao =3e
i null kao =00
Poslaće verifikacioni email na collab@psres.net
Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com
Ista trik kao pre, ali dodajući neku običnu navodnu reč na početku i kodiranu navodnu reč =22
pre kodiranog @
, a zatim otvarajući i zatvarajući neke navodne reči pre sledećeg emaila da bi se ispravila sintaksa korišćena interno od strane Zendesk-a
Poslaće verifikacioni email na collab@psres.net
Gitlab: =?x?q?collab=40psres.net_?=foo@example.com
Napomena o korišćenju donje crte kao razmaka za razdvajanje adrese
Poslaće verifikacioni email na collab@psres.net
Punycode: Korišćenjem Punycode-a bilo je moguće injektovati oznaku <style
u Joomla i zloupotrebiti je za krađu CSRF tokena putem CSS eksfiltracije.
Postoji Burp Suite Turbo Intruder skripta za fuzzing ovih vrsta kombinacija kako bi se pokušao napad na email formate. Skripta već ima potencijalno funkcionalne kombinacije.
Takođe je moguće koristiti Hackvertor za kreiranje napada deljenja emaila
Neke usluge kao što su github ili salesforce omogućavaju vam da kreirate email adresu sa XSS payload-ima. Ako možete koristiti ove provajdere za prijavu na druge usluge i te usluge ne sanitizuju ispravno email, mogli biste izazvati XSS.
Ako SSO usluga omogućava da kreirate nalog bez verifikacije date email adrese (kao što je salesforce) i zatim možete koristiti taj nalog za prijavu na drugu uslugu koja veruje salesforce, mogli biste pristupiti bilo kojem nalogu. &#xNAN;Note da salesforce ukazuje da li je data email adresa verifikovana ili ne, ali takođe bi aplikacija trebala uzeti u obzir ove informacije.
Možete poslati email koristeći From: company.com i Replay-To: attacker.com i ako se bilo koja automatska odgovor pošalje zbog toga što je email poslat sa internog adresa, napadač može biti u mogućnosti da primi taj odgovor.
Određene usluge, poput AWS-a, implementiraju prag poznat kao Hard Bounce Rate, obično postavljen na 10%. Ovo je kritična metrika, posebno za usluge dostave emaila. Kada se ovaj procenat prekorači, usluga, kao što je AWS-ova usluga emaila, može biti suspendovana ili blokirana.
Hard bounce se odnosi na email koji je vraćen pošiljaocu jer je adresa primaoca nevažeća ili nepostojeća. Ovo se može dogoditi iz raznih razloga, kao što su email poslat na nepostojeću adresu, domen koji nije stvaran, ili odbijanje servera primaoca da prihvati emailove.
U kontekstu AWS-a, ako pošaljete 1000 emailova i 100 od njih rezultira hard bounce-ovima (zbog razloga kao što su nevažeće adrese ili domeni), to bi značilo 10% hard bounce rate. Dostizanje ili prekoračenje ovog procenta može pokrenuti AWS SES (Simple Email Service) da blokira ili suspenduje vaše mogućnosti slanja emaila.
Važno je održavati nizak hard bounce rate kako bi se osigurala neprekidna usluga emaila i održala reputacija pošiljaoca. Praćenje i upravljanje kvalitetom email adresa u vašim mailing listama može značajno pomoći u postizanju ovog cilja.
Za detaljnije informacije, može se konsultovati AWS-ova zvanična dokumentacija o upravljanju bounce-ovima i pritužbama AWS SES Bounce Handling.
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)