hacktricks/pentesting-web/email-injections.md

# E-posinspuitings

<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

\
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik te bou en **werkstrome outomaties** te dryf met die wêreld se **mees gevorderde** gemeenskapsinstrumente.\
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>

## Spuit in gestuurde e-pos

### Spuit Cc en Bcc na die afsender-argument
```
From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com
```
Die boodskap sal na die ontvanger en ontvanger1 rekeninge gestuur word.

### Insit argument
```
From:sender@domain.com%0ATo:attacker@domain.com
```
Die boodskap sal gestuur word na die oorspronklike ontvanger en die aanvaller se rekening. 

### Insit Onderwerp argument
```
From:sender@domain.com%0ASubject:This is%20Fake%20Subject
```
### Verander die liggaam van die boodskap

Spuit 'n twee-lyn invoeging in, skryf dan jou boodskap om die liggaam van die boodskap te verander.
```
From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.
```
### Uitbuiting van die PHP mail() funksie
```bash
# The function has the following definition:

php --rf mail

Function [ <internal:standard> function mail ] {
- Parameters [5] {
Parameter #0 [ <required> $to ]
Parameter #1 [ <required> $subject ]
Parameter #2 [ <required> $message ]
Parameter #3 [ <optional> $additional_headers ]
Parameter #4 [ <optional> $additional_parameters ]
}
}
```
#### Die 5de parameter ($additional\_parameters)

Hierdie afdeling gaan gebaseer wees op **hoe om hierdie parameter te misbruik as 'n aanvaller dit beheer**.

Hierdie parameter gaan bygevoeg word tot die bevellyn wat PHP gaan gebruik om die binêre sendmail aan te roep. Dit sal egter gesaniteer word met die funksie `escapeshellcmd($additional_parameters)`.

'n Aanvaller kan **ekstra parameters vir sendmail inspuit** in hierdie geval.

#### Verskille in die implementering van /usr/sbin/sendmail

Die **sendmail**-koppelvlak word **verskaf deur die MTA e-pos sagteware** (Sendmail, Postfix, Exim ens.) wat op die stelsel geïnstalleer is. Alhoewel die **basiese funksionaliteit** (soos -t -i -f parameters) dieselfde bly vir versoenbaarheidsredes, **ander funksies en parameters** verskil aansienlik afhangende van die MTA wat geïnstalleer is.

Hier is 'n paar voorbeelde van verskillende manbladsye van die sendmail-opdrag/koppelvlak:

* Sendmail MTA: http://www.sendmail.org/\~ca/email/man/sendmail.html
* Postfix MTA: http://www.postfix.org/mailq.1.html
* Exim MTA: https://linux.die.net/man/8/eximReferences

Afhanklik van die **oorsprong van die sendmail**-binêre lêers is verskillende opsies ontdek om hulle te misbruik en **lêers te lek of selfs arbitrêre opdragte uit te voer**. Sien hoe in [**https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html**](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)

## Inspuiting in die e-posnaam

### Geïgnoreerde dele van 'n e-pos

Die simbole: **+, -** en **{}** kan in seldsame gevalle gebruik word vir merking en geïgnoreer word deur die meeste e-posbedieners

* Byvoorbeeld john.doe+intigriti@example.com → john.doe@example.com

**Opmerkings tussen hakies ()** aan die begin of die einde sal ook geïgnoreer word

* Byvoorbeeld john.doe(intigriti)@example.com → john.doe@example.com

### Witlysontduiking

<figure><img src="../.gitbook/assets/image (809).png" alt="https://www.youtube.com/watch?app=desktop&#x26;v=4ZsTKvfP1g0"><figcaption></figcaption></figure>

### Aanhalingstekens

<figure><img src="../.gitbook/assets/image (623).png" alt="https://www.youtube.com/watch?app=desktop&#x26;v=4ZsTKvfP1g0"><figcaption></figcaption></figure>

### IP-adresse

Jy kan ook IP-adresse gebruik as domeinname tussen vierkante hakies:

* john.doe@\[127.0.0.1]
* john.doe@\[IPv6:2001:db8::1]

### Ander kwesbaarhede

![https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](<../.gitbook/assets/image (1128).png>)

## Derde party SSO

### XSS

Sommige dienste soos **github** of **salesforce laat** jou toe om 'n **e-posadres met XSS-laslading daarop te skep**. As jy **hierdie verskaffers kan gebruik om op ander dienste in te teken** en hierdie dienste **nie die e-pos korrek saniteer nie**, kan jy **XSS** veroorsaak.

### Rekening-oorneem

As 'n **SSO-diens** jou toelaat om 'n rekening te skep sonder om die gegee e-posadres te verifieer (soos **salesforce**) en dan kan jy daardie rekening gebruik om in 'n ander diens in te teken wat **vertrou** op salesforce, kan jy toegang verkry tot enige rekening.\
_Merk op dat salesforce aandui of die gegee e-posadres wel of nie geverifieer is nie, maar die aansoek moet hierdie inligting in ag neem._

## Antwoord-Aan

Jy kan 'n e-pos stuur met _**Van: maatskappy.com**_ en _**Antwoord-Aan: aanvaller.com**_ en as enige **outomatiese antwoord** gestuur word omdat die e-pos **van** 'n **interne adres** af gestuur is, kan die **aanvaller** moontlik daardie **antwoord ontvang**.

## Harde Terugstootkoers

Sekere dienste, soos AWS, implementeer 'n drempel bekend as die **Harde Terugstootkoers**, tipies ingestel op 10%. Dit is 'n kritieke meting, veral vir e-posafleweringsdienste. Wanneer hierdie koers oorskry word, kan die diens, soos AWS se e-posdiens, opgeskort of geblokkeer word.

'n **Harde terugstoot** verwys na 'n **e-pos** wat aan die afstuurder terugbesorg is omdat die ontvanger se adres ongeldig of nie-bestaande is nie. Dit kan gebeur as gevolg van verskeie redes, soos die **e-pos** wat gestuur word na 'n nie-bestaande adres, 'n domein wat nie werklik is nie, of die ontvanger se bediener se weiering om **e-posse** te aanvaar.

In die konteks van AWS, as jy 1000 e-posse stuur en 100 daarvan lei tot harde terugstote (as gevolg van redes soos ongeldige adresse of domeine), sou dit 'n 10% harde terugstootkoers beteken. Die bereiking of oorskryding van hierdie koers kan AWS SES (Simple Email Service) aktiveer om jou e-posstuurvermoëns te blokkeer of op te skort.

Dit is noodsaaklik om 'n lae harde terugstootkoers te handhaaf om ononderbroke e-posdiens te verseker en die afstuurder se reputasie te handhaaf. Die monitering en bestuur van die gehalte van die e-posadresse in jou poslys kan aansienlik help om hierdie doel te bereik.

Vir meer gedetailleerde inligting kan verwys word na AWS se amptelike dokumentasie oor die hantering van terugstote en klagtes [AWS SES Terugstoothantering](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/notification-contents.html#bounce-types).

## Verwysings

* [https://resources.infosecinstitute.com/email-injection/](https://resources.infosecinstitute.com/email-injection/)
* [https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)
* [https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view](https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view)
* [https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0)

<details>

<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Ander maniere om HackTricks te ondersteun:

* As jy jou **maatskappy geadverteer wil sien in HackTricks** of **HackTricks in PDF wil aflaai** Kyk na die [**INSKRYWINGSPLANNE**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks-swag**](https://peass.creator-spring.com)
* Ontdek [**Die PEASS-familie**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFT's**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.

</details>

<figure><img src="../.gitbook/assets/image (45).png" alt=""><figcaption></figcaption></figure>

\
Gebruik [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) om maklik werkstrome te bou en te outomatiseer met behulp van die wêreld se **mees gevorderde** gemeenskapsinstrumente.\
Kry Vandag Toegang:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}