# E-Mail-Injektionen
\
Verwenden Sie [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), um mühelos **Workflows zu erstellen und zu automatisieren**, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden.\
Heute Zugriff erhalten:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
Erlernen Sie AWS-Hacking von Null auf Held mithtARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) Github-Repositories einreichen.
## Injizieren in gesendete E-Mail
### Cc und Bcc nach dem Absenderargument einfügen
```
From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com
```
Die Nachricht wird an die Empfänger- und Empfänger1-Konten gesendet.
### Injiziere Argument
```
From:sender@domain.com%0ATo:attacker@domain.com
```
### Injizieren des Betreffarguments
Die Nachricht wird an den ursprünglichen Empfänger und das Konto des Angreifers gesendet.
```
From:sender@domain.com%0ASubject:This is%20Fake%20Subject
```
### Ändern Sie den Nachrichtentext
Fügen Sie einen Zeilenumbruch ein und schreiben Sie Ihre Nachricht, um den Nachrichtentext zu ändern.
```
From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.
```
### Ausnutzung der PHP mail() Funktion
```bash
# The function has the following definition:
php --rf mail
Function [ function mail ] {
- Parameters [5] {
Parameter #0 [ $to ]
Parameter #1 [ $subject ]
Parameter #2 [ $message ]
Parameter #3 [ $additional_headers ]
Parameter #4 [ $additional_parameters ]
}
}
```
#### Der 5. Parameter ($additional\_parameters)
Dieser Abschnitt basiert darauf, **wie man diesen Parameter missbrauchen kann, wenn ein Angreifer ihn kontrolliert**.
Dieser Parameter wird der Befehlszeile hinzugefügt, die PHP verwenden wird, um das Binärprogramm sendmail aufzurufen. Er wird jedoch mit der Funktion `escapeshellcmd($additional_parameters)` bereinigt.
Ein Angreifer kann in diesem Fall **zusätzliche Parameter für sendmail einschleusen**.
#### Unterschiede in der Implementierung von /usr/sbin/sendmail
Die **sendmail**-Schnittstelle wird von der MTA-E-Mail-Software (Sendmail, Postfix, Exim usw.) bereitgestellt, die auf dem System installiert ist. Obwohl die **grundlegende Funktionalität** (wie z. B. -t -i -f-Parameter) aus Gründen der Kompatibilität **gleich bleibt**, variieren **andere Funktionen und Parameter** je nach installierter MTA erheblich.
Hier sind einige Beispiele für verschiedene Handbuchseiten des sendmail-Befehls/der Schnittstelle:
* Sendmail MTA: http://www.sendmail.org/\~ca/email/man/sendmail.html
* Postfix MTA: http://www.postfix.org/mailq.1.html
* Exim MTA: https://linux.die.net/man/8/eximReferences
Je nach **Herkunft des sendmail**-Binärprogramms wurden verschiedene Optionen entdeckt, um sie zu missbrauchen und **Dateien auszulesen oder sogar beliebige Befehle auszuführen**. Überprüfen Sie, wie dies unter [**https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html**](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html) erfolgen kann.
## Einschleusen in den E-Mail-Namen
### Ignorierte Teile einer E-Mail
Die Symbole: **+, -** und **{}** können in seltenen Fällen für Markierungen verwendet und von den meisten E-Mail-Servern ignoriert werden
* z. B. john.doe+intigriti@example.com → john.doe@example.com
**Kommentare zwischen Klammern ()** am Anfang oder am Ende werden ebenfalls ignoriert
* z. B. john.doe(intigriti)@example.com → john.doe@example.com
### Whitelist-Umgehung
### Anführungszeichen
### IPs
Sie können auch IPs als Domainnamen zwischen eckigen Klammern verwenden:
* john.doe@\[127.0.0.1]
* john.doe@\[IPv6:2001:db8::1]
### Andere Schwachstellen
![https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](<../.gitbook/assets/image (296).png>)
## Drittanbieter-SSO
### XSS
Einige Dienste wie **github** oder **salesforce erlauben** es Ihnen, eine **E-Mail-Adresse mit XSS-Payloads** zu erstellen. Wenn Sie diese Anbieter verwenden können, um sich bei anderen Diensten anzumelden, und diese Dienste die E-Mail nicht korrekt **säubern**, könnten Sie **XSS** verursachen.
### Account-Übernahme
Wenn ein **SSO-Dienst** es Ihnen erlaubt, ein Konto ohne Überprüfung der angegebenen E-Mail-Adresse zu erstellen (wie **salesforce**) und Sie dann dieses Konto verwenden können, um sich bei einem anderen Dienst anzumelden, der **salesforce vertraut**, könnten Sie auf jedes Konto zugreifen.\
Beachten Sie, dass salesforce angibt, ob die angegebene E-Mail-Adresse verifiziert wurde oder nicht, sodass die Anwendung diese Information berücksichtigen sollte.
## Antwort an
Sie können eine E-Mail senden mit _**Von: unternehmen.com**_ und _**Antwort an: angreifer.com**_ und wenn eine **automatische Antwort** gesendet wird, weil die E-Mail **von** einer **internen Adresse** gesendet wurde, könnte der **Angreifer** diese **Antwort** erhalten.
## Harte Bounce-Rate
Bestimmte Dienste wie AWS implementieren eine Schwelle, die als **Harte Bounce-Rate** bekannt ist, die in der Regel auf 10% festgelegt ist. Dies ist eine wichtige Metrik, insbesondere für E-Mail-Zustelldienste. Wenn diese Rate überschritten wird, kann der Dienst, wie z. B. der E-Mail-Dienst von AWS, gesperrt oder blockiert werden.
Ein **harter Bounce** bezieht sich auf eine **E-Mail**, die an den Absender zurückgesendet wurde, weil die E-Mail-Adresse des Empfängers ungültig oder nicht vorhanden ist. Dies kann aus verschiedenen Gründen geschehen, z. B. wenn die E-Mail an eine nicht existierende Adresse gesendet wird, an eine nicht real existierende Domain oder wenn der Server des Empfängers sich weigert, **E-Mails** zu akzeptieren.
Im Kontext von AWS bedeutet dies, dass wenn Sie 1000 E-Mails senden und 100 davon aufgrund von Gründen wie ungültigen Adressen oder Domains zu harten Bounces führen, dies eine harte Bounce-Rate von 10% bedeuten würde. Das Erreichen oder Überschreiten dieser Rate kann dazu führen, dass AWS SES (Simple Email Service) Ihre E-Mail-Sendeoptionen blockiert oder aussetzt.
Es ist entscheidend, eine niedrige harte Bounce-Rate aufrechtzuerhalten, um einen unterbrechungsfreien E-Mail-Dienst sicherzustellen und den Absender-Ruf zu wahren. Die Überwachung und Verwaltung der Qualität der E-Mail-Adressen in Ihren Mailinglisten kann erheblich dazu beitragen, dieses Ziel zu erreichen.
Für weitere ausführliche Informationen kann die offizielle Dokumentation von AWS zur Behandlung von Bounces und Beschwerden unter [AWS SES Bounce Handling](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/notification-contents.html#bounce-types) konsultiert werden.
## Referenzen
* [https://resources.infosecinstitute.com/email-injection/](https://resources.infosecinstitute.com/email-injection/)
* [https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)
* [https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view](https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view)
* [https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0)
Erlernen Sie AWS-Hacking von Null auf Held mithtARTE (HackTricks AWS Red Team Expert)!
Andere Möglichkeiten, HackTricks zu unterstützen:
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merch**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
\
Verwenden Sie [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks), um mithilfe der weltweit **fortschrittlichsten Community-Tools** einfach **Workflows zu erstellen und zu automatisieren**.\
Erhalten Sie noch heute Zugriff:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}