用户
搜索
  • TA的每日心情

    2019-1-23 14:43
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋-见习白帽

    k0nJAc

    Rank: 3Rank: 3

    2

    主题

    57

    帖子

    263

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2017-5-10
    发表于 2019-3-7 15:49:49 58050

    【翻译】邮件服务相关的漏洞

    作为一个白帽子,我有很多同行竞争者,很多公司都有他们的奖励计划,但是前提是只有第一个发现的人才能拿到奖励,如果你想克服这个撞洞的麻烦,我们就得在别人不会挖掘的地方挖掘漏洞。


    • 我想在一些常用的功能点或者开发逻辑中寻找漏洞,而不是专注于漏洞计划中的网站。所以,我在电子邮件系统中发现了一些骚的技巧。PS:电子邮件服务中通常会包含敏感信息和tokens,而且一般不会在waf中工作。

    我们都知道,Email 有自动回复功能,例如过期邮件,自动退回的邮件,服务邮件,而这些邮件通常都会带有敏感信息。攻击者可以利用这些信息绕过身份验证。

    我们可以使用RCPT和VRFY SMPT命令找出目标所使用的官方邮箱名,以避免我的测试账号将他们归纳为垃圾邮件。

    image

    我经常遇到的邮箱名类型包括:

    技术支持类邮箱系统:support@,helpdesk@,customerservice@,help@....(技术支持,帮助服务,客户服务,帮助)
    收费邮箱系统: billing@, finance@
    一些收费系统会自动上传或者 解析传入的电子邮件附件,可以尝试盲打xss,甚至是通过任意文件上传导致的RCE.
    服务:printer@,printint@,uploads@,ftp@,test@...
    通行证: tickets@, jira@, helpdesk@, bugs@, issues@…
    为了方便,很多公司运行通过电子邮件创建内部通行证。但不限制申请的人员,有些时候,一些公司内部的问题跟踪系统会为提交问题的人员都创建一个账号,或者提供一个注册链接,像下面的图片一样,这可能会导致攻击者远程非法访问内网的部分内容

    image

    另外一种类型的自动响应就是电子邮件自动退回,当因为一些原因无法发送邮件时,就会自动退回邮件,由于邮件只包含了攻击者发送的原始电子邮件和一些元数据,看起来没屌用,但是还是有很多可以操作的地方。举一个例子

    谷歌云盘元数据泄露

    我在检测一些目标的时候,我突然发现了受保护的谷歌云文档。我经常点击这个Request access的按钮,但是成功率很低
    image
    令我记忆很深的就是这个请求的发送方式:执行逻辑是这样子的,谷歌会发送一个来自请求访问者邮件地址的电子邮件请求,这个邮件如下所示:
    image
    因为FROMReturn-PAth被设置为攻击者的电子邮件地址,因此机密信息将在退回的时候返回,我们需要让电子邮件的请求反弹回来。例如电子邮件轰炸,从而使收件箱容量限制。
    一旦被攻击者的邮件箱已满,就可以通过邮件退回,泄露对方的邮件地址和文档标题。(译者:这种思路是可以的.挺骚,但是这种漏洞方法在国内只能说是作为一种思路,目测评级无危害)

    image
    如果文档所有者的收件箱已满,Google过去常常会退回其电子邮件地址和文档标题

    谷歌修复了这个问题,并给予了奖金(靠!!!).

    取消屏蔽电子邮件别名

    如前面所示,邮件退回包括收件人的电子邮件地址。这可以很方便地确定邮件转发器隐藏的目标电子邮件地址。如果webmaster@example.com将电子邮件重定向到john.doe@gmail.com,则跳转到网站管理员的电子邮件实际上还是会泄露john.doe邮件地址:

    attacker@acme.com → webmaster@example.com → john.doe@gmail.com

    在正常情况下,攻击者无法获得最终发送的邮件地址,但是通过邮件轰炸,john.doe@gmail.com会自动将电子邮件退回到attacker@acme.com,以此泄露最终的邮件地址(有点绕口 读多几次)

    另外一个让john.dor反弹的方法是 攻击者控制的acme.com配置了严格的DMARC策略.这样子其他服务器就不能转发它.在场景中 作为中间者的webmaster@example.com就无法转发到目标邮箱,因为不符合DMARC策略.最终导致邮件退回。

    利用场景:SRC平台

    image
    像别的漏洞平台一样,intigriti使用邮件的别名,白帽子在注册时候可以得到一个<username>@intigriti.me格式的地址 可以使用这个地址去测试一些他们想要测试的项目,然后使用我们刚刚说的方法就可以获得在intigriti.me下的真实电子邮件地址。
    如果acme.com具有严格的dmarc策略,那么从attacker@acme.com邮箱->intidc@intigriti.me 之间无法通过验证的电子邮件将回撤:
    image
    所以,我的个人电子邮件地址inti.de.ceukelaire@gmail.com将包含在邮件退回中。

    intigriti开发人员通过不再使用原始电子邮件地址作为退回地址修补了此漏洞。我也测试了其他漏洞平台,所以不需要测试他们了,2333.(PS:我在看完这个文章后 暂时没见到国内有什么地方是隐藏对方的邮箱地址的。)

    最后说几句

    作为一个白帽,值得花时间去寻找一些骚的攻击手法。然后去寻找符合这个场景的目标。因为你是用不一样的方法去找,所以可以降低撞洞的概率,另外在测试E-mail相关的漏洞时,要检查程序的范围和确保你不会像垃圾邮件一样分发他们,公司是不会感谢你们这样做的

    作为甲方,你的E-mail服务是非常重要的。不要只检测发送人地址是否匹配你们公司地址。邮件服务器还有你的自动回复服务是很容易被骗的。就是说你要用主产品同样的安全标准去检测你的邮件服务器,因为他们经常会接触相同的敏感数据。


    不定时翻译国外关于Bug bouty的文章 用来锻炼英语单词和眼界

    Github:https://github.com/k0njacccc/Bug-Bounty---Write-up-translate

    翻译:K0nJacccc

    原文:https://medium.com/intigriti/abusing-autoresponders-and-email-bounces-9b1995eb53c2




    游客,如果您要查看本帖隐藏内容请回复

    发表于 2019-3-9 13:24:30
    邮件服务相关的漏洞
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    66666666666666
    使用道具 举报 回复
    顶楼主啦..希望楼主多发精品好帖啦.....
    使用道具 举报 回复
    发表于 2019-3-10 22:22:50
    6666666666666666666666
    使用道具 举报 回复
    发表于 2019-3-11 09:20:02
    国内没有说注册SRC就给分一个企业邮箱的吧
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册