每年blackhat总是会有一些新奇的攻击思路值得大家学习,在2024年blackhat的议题中创造一篇很故意思的文章,作者提出了一套基于邮箱的欺骗攻击思路,利用RFC标准中对SMTP协议中邮箱地址的特性,供应一系列绕过技巧,我们从中挑选一些实用性较高的思路分享。
0x02 邮箱欺骗
1)邮箱地址注释
在RFC2822规范中规定了邮件数据格式标准,个中3.2.3章节提到可以仇家中的内容进行注释,邮件地址属于头的一部分,也支持注释,注释符是单括号。
zhangsan@webray.com.cn #正常目标收件箱zhangsan(xxxxx)@webray.com.cn #利用括号进行注释zhangsan(test@gmail.com)@webray.com.cn #注释中支持任意其它字符zhangsan@(test@gmail.com)webray.com.cn #支持在任意未知进行注释
在上面表格中的邮箱地址是属于添加了注释的邮件地址,实质上都是代表zhangsan@webray.com.cn。可以利用python的smtplib库复现了邮件发送过程中的注释功能,如下所示。
import smtplibfrom email.mime.text import MIMETextfrom email.utils import formataddr#发送邮件def send_mail(html,mails_to,title='xxxxxxx'): ret=True mails_to_old=mails_to mails_to=','.join(mails_to) try: my_sender='zhangsan@webray.com.cn' # 邮件内容 msg=MIMEText(html,'html','utf-8') # 括号里的对应发件人邮箱昵称、发件人邮箱账号 msg['From']=formataddr(["xxx",my_sender]) # 括号里的对应收件人邮箱昵称、收件人邮箱账号 msg['To'] =formataddr(["xxx",mails_to]) # 邮件的主题 msg['Subject']=title # 邮件做事器的SMTP地址 server=smtplib.SMTP_SSL("smtp.target.cn", 465) # 登录做事器,括号中对应的是发件人邮箱账号、邮箱密码 server.login(my_sender, 'yourpassword') # 发送邮件,括号中对应的是发件人邮箱账号、收件人邮箱账号、发送邮件 server.sendmail(my_sender,mails_to_old,msg.as_string()) # 关闭连接 server.quit() # 如果 try 中的语句没有实行,则会实行下面的 ret=False except Exception as e: print('发送邮件缺点',e) ret=False return retif __name__ == '__main__': send_mail("xxxxxxx", ["zhangsan@(test@gmail.com)webray.com.cn"])
那么这样的邮件欺骗的攻击行为有什么用途呢?
恶意邮箱注册(低危)
攻击者只有一个邮件收件箱,但是通过引入不同的注释符在同一个网站注册多个账号。
认证与鉴权绕过(高危)
有的网站只许可特定域名进行注册(或者通过用户注册邮箱提取其域名信息),如果对域名数据的获取逻辑存在问题,则可能导致获取到的域名是属于注释中的域名,导致认证与鉴权绕过漏洞。
2)邮箱地址编码
在RFC2047规范中规定了邮件传输协议中邮件头的标准,规范中先容可以利用多种不同的编码办法对邮件头的值进行编码。如下图所示。
个中=?代表编码开始的位置,utf-8代表后续的字符集类型(其它支持的类型包括utf-8、iso-8859-1等),q代表编码办法的简称(个中q代表Q-Encoding,是一种hex编码办法;b代表Base64-Encoding,是base64编码),?=代表编码结束的位置。
通过对邮件地址进行编码供应了另一种邮件地址表示办法,可以利用github的邮箱验证功能来复现这一特性。在github的settings->emails模块中,添加邮箱地址的base64编码后的值,可以在自己的邮箱正常收到github的邮件。
纯挚通过对邮箱地址的用户名字段进行编码彷佛并不敷以产生较大的危害,其灵巧性彷佛还没有上面邮箱注释的办法高。而且在更多场景下,网站获取邮箱域名是直接获取的邮箱地址的末端的域名。例如用户输入的邮箱地址是zhangsan@webray.com.cn,网站会获取末了的webray.com.cn来进行校验,判断输入邮箱是否属于许可注册的域名,这样的验证无法通过上面两种办法来绕过。
为了应对上面这种场景,作者提出了一种%00截断的办法,通过邮箱编码结合%00截断可以在输入的邮箱地址末端添加任意字符。如下图所示。
个中最关键的是在后面添加了=3e(代表右尖括号>)和%00用于截断后面的内容。个中%00可以截断后面的内容该当是属于C措辞在字符遍历时的特性,这个很随意马虎理解。前面的右尖括号是什么浸染呢?这是由于在SMTP协议头中真实的目的邮箱地址是下面的办法通过旁边尖括号的办法来包裹的。
RCPT TO:<zhangsan@webray.com.cn>
在作者给出的案例中,通过这样的办法可以在github上面认证任意后缀的邮箱地址,如下图所示。
那么这样的欺骗攻击有什么用途呢?
用于欺骗钓鱼攻击(低危)
在业务系统中假造目标内部邮箱域名后缀,增加钓鱼成功率。
绕过特定域名邮箱注册限定(高危)
有的主要系统限定了必须是特定域名的邮箱才能注册,通过这样的办法可以绕过系统注册限定。在原文中作者提到有的自建gitlab做事器会限定只许可特定域名后缀的邮箱注册,通过这种办法可以绕过限定,这也该当算是邮箱欺骗攻击的范例运用处景了。
利用github管理员权限上岸,在管理配置中配置许可注册的后缀域名。
配置之后就利用其它域名后缀的邮箱注册,则会返回禁止注册的缺点。
这个时候可以通过=?utf-8?q?testtest1=40163.com=3e=00?=foo@webray.com.cn对gitlab邮件限定进行欺骗,绕过域名注册限定。
0x0 3实网体验
基于邮件地址的域名欺骗攻击是一种新型的攻击思路,在特定场景下能产生主要的浸染,但是经由笔者实际测试效果彷佛并没有那么好:
大多数网站对邮件地址有格式校验,不许可在邮件地址中存在分外字符。我们测试了python的smtplib、php的phpmailer、java的javax.mail.jar三种措辞的常见SMTP发邮件的办法,从测试结果上来看三种办法原生均不支持通过编码的办法来定义收件箱地址。原文中也并没有明确当前主流邮件做事器对编码邮件地址的支持情形。github仅有老版本受域名欺骗攻击影响,在最新的gitlab上面进行测试,是不许可对邮箱地址进行编码的。利用编码的域名会返回邮件地址缺点。
也欢迎大家在实际详细业务中多做考试测验,肯定能创造其它利用的思路。
0x04 参考链接
https://portswigger.net/research/splitting-the-email-atom
