百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

基于邮箱的域名欺骗攻击(利用解析器绕过访问控制)

zhezhongyun 2025-03-10 22:32 23 浏览


0x01 前言

每年blackhat总是会有一些新奇的攻击思路值得大家学习,在2024年blackhat的议题中发现一篇很有意思的文章,作者提出了一套基于邮箱的欺骗攻击思路,利用RFC标准中对SMTP协议中邮箱地址的特性,提供一系列绕过技巧,我们从中挑选一些实用性较高的思路分享。




0x02 邮箱欺骗

1)邮箱地址注释


在RFC2822规范中规定了邮件数据格式标准,其中3.2.3章节提到可以对消息头中的内容进行注释,邮件地址属于消息头的一部分,也支持注释,注释符是单括号。

zhangsan@webray.com.cn  #正常目标收件箱
zhangsan(xxxxx)@webray.com.cn  #使用括号进行注释
zhangsan(test@gmail.com)@webray.com.cn   #注释中支持任意其它字符
zhangsan@(test@gmail.com)webray.com.cn   #支持在任意未知进行注释


在上面表格中的邮箱地址是属于添加了注释的邮件地址,本质上都是代表zhangsan@webray.com.cn。可以使用python的smtplib库复现了邮件发送过程中的注释功能,如下所示。

import smtplib
from email.mime.text import MIMEText
from email.utils import formataddr


#发送邮件
def send_mail(html,mails_to,title='xxxxxxx'):
    ret=True
    mails_to_old=mails_to
    mails_to=','.join(mails_to)
    try:
        my_sender='zhangsan@webray.com.cn'
        # 邮件内容
        msg=MIMEText(html,'html','utf-8')
        # 括号里的对应发件人邮箱昵称、发件人邮箱账号
        msg['From']=formataddr(["xxx",my_sender])  
        # 括号里的对应收件人邮箱昵称、收件人邮箱账号
        msg['To'] =formataddr(["xxx",mails_to])
        # 邮件的主题           
        msg['Subject']=title      
        # 邮件服务器的SMTP地址          
        server=smtplib.SMTP_SSL("smtp.target.cn", 465)  
        # 登录服务器,括号中对应的是发件人邮箱账号、邮箱密码
        server.login(my_sender, 'yourpassword')
        # 发送邮件,括号中对应的是发件人邮箱账号、收件人邮箱账号、发送邮件
        server.sendmail(my_sender,mails_to_old,msg.as_string())  
        # 关闭连接
        server.quit() 
        # 如果 try 中的语句没有执行,则会执行下面的 ret=False 
    except Exception as e:
        print('发送邮件错误',e)
        ret=False
    return ret


if __name__ == '__main__':
  send_mail("xxxxxxx", ["zhangsan@(test@gmail.com)webray.com.cn"])


那么这样的邮件欺骗的攻击行为有什么用处呢?



恶意邮箱注册(低危)

攻击者只有一个邮件收件箱,但是通过引入不同的注释符在同一个网站注册多个账号。

认证与鉴权绕过(高危)

有的网站只允许特定域名进行注册(或者通过用户注册邮箱提取其域名信息),如果对域名数据的获取逻辑存在问题,则可能导致获取到的域名是属于注释中的域名,导致认证与鉴权绕过漏洞。


2)邮箱地址编码


在RFC2047规范中规定了邮件传输协议中邮件头的标准,规范中介绍可以使用多种不同的编码方式对邮件头的值进行编码。如下图所示。



其中=?代表编码开始的位置,utf-8代表后续的字符集类型(其它支持的类型包括utf-8、iso-8859-1等),q代表编码方式的简称(其中q代表Q-Encoding,是一种hex编码方式;b代表Base64-Encoding,是base64编码),?=代表编码结束的位置。


通过对邮件地址进行编码提供了另一种邮件地址表示方式,可以使用github的邮箱验证功能来复现这一特性。在github的settings->emails模块中,添加邮箱地址的base64编码后的值,可以在自己的邮箱正常收到github的邮件。



单纯通过对邮箱地址的用户名字段进行编码似乎并不足以产生较大的危害,其灵活性似乎还没有上面邮箱注释的方式高。而且在更多场景下,网站获取邮箱域名是直接获取的邮箱地址的末尾的域名。例如用户输入的邮箱地址是zhangsan@webray.com.cn,网站会获取最后的webray.com.cn来进行校验,判断输入邮箱是否属于允许注册的域名,这样的验证无法通过上面两种方式来绕过。


为了应对上面这种场景,作者提出了一种%00截断的方式,通过邮箱编码结合%00截断可以在输入的邮箱地址末尾添加任意字符。如下图所示。



其中最关键的是在后面添加了=3e(代表右尖括号>)和%00用于截断后面的内容。其中%00可以截断后面的内容应该是属于C语言在字符遍历时的特性,这个很容易理解。前面的右尖括号是什么作用呢?这是因为在SMTP协议头中真实的目的邮箱地址是下面的方式通过左右尖括号的方式来包裹的。


RCPT TO:


在作者给出的案例中,通过这样的方式可以在github上面认证任意后缀的邮箱地址,如下图所示。


那么这样的欺骗攻击有什么用处呢?


用于欺骗钓鱼攻击(低危)

在业务系统中伪造目标内部邮箱域名后缀,增加钓鱼成功率。

绕过特定域名邮箱注册限制(高危)

有的重要系统限制了必须是特定域名的邮箱才能注册,通过这样的方式可以绕过系统注册限制。在原文中作者提到有的自建gitlab服务器会限制只允许特定域名后缀的邮箱注册,通过这种方式可以绕过限制,这也应该算是邮箱欺骗攻击的典型应用场景了。

使用github管理员权限登陆,在管理配置中配置允许注册的后缀域名。



配置之后就使用其它域名后缀的邮箱注册,则会返回禁止注册的错误。


这个时候可以通过=?utf-8?q?testtest1=40163.com=3e=00?=foo@webray.com.cn对gitlab邮件限制进行欺骗,绕过域名注册限制。


0x0 3实网体验

基于邮件地址的域名欺骗攻击是一种新型的攻击思路,在特定场景下能产生重要的作用,但是经过笔者实际测试效果似乎并没有那么好:


  • 大多数网站对邮件地址有格式校验,不允许在邮件地址中存在特殊字符。
  • 我们测试了python的smtplib、php的phpmailer、java的javax.mail.jar三种语言的常见SMTP发邮件的方式,从测试结果上来看三种方式原生均不支持通过编码的方式来定义收件箱地址。原文中也并没有明确当前主流邮件服务器对编码邮件地址的支持情况。
  • github仅有老版本受域名欺骗攻击影响,在最新的gitlab上面进行测试,是不允许对邮箱地址进行编码的。使用编码的域名会返回邮件地址错误。


也欢迎大家在实际具体业务中多做尝试,肯定能发现其它利用的思路。


0x04 参考链接

https://portswigger.net/research/splitting-the-email-atom

相关推荐

用豆包生成的BMI计算器(豆包的热量是多少?)

<!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8&#...

Android 开发中文引导-应用小部件

应用小部件是可以嵌入其它应用(例如主屏幕)并收到定期更新的微型应用视图。这些视图在用户界面中被叫做小部件,并可以用应用小部件提供者发布。可以容纳其他应用部件的应用组件叫做应用部件的宿主(1)。下面的截...

Qt推流(视频文件/视频流/摄像头/桌面转流媒体rtmp+hls+webrtc)

一、前言说明推流直播就是把采集阶段封包好的内容传输到服务器的过程。其实就是将现场的视频信号从手机端,电脑端,摄影机端打包传到服务器的过程。“推流”对网络要求比较高,如果网络不稳定,直播效果就会很差,观...

一看就会!谷歌广告转化跟踪详细设置指南来了

在出海推广业务中,投放广告最常见的目的是获取订单,但我们怎么知道有没有达成投放目的呢?谷歌转化跟踪技术就可以做到!熟悉谷歌的卖家朋友都知道,转化跟踪在最近几年变得越来越复杂了,虽然有很多选项可以自定义...

Android原生编解码接口MediaCodec详解

作者:躬行之MediaCodec是Android中的编解码器组件,用来访问底层提供的编解码器,通常与MediaExtractor、MediaSync、MediaMuxer、MediaCrypt...

手把手搭建RTSP流媒体服务器(rtsp 流媒体)

0.引言本文主要讲解如何搭建RTSP流媒体服务器的过程,使用开源项目ZLMediaKit。通过这个开源项目,推RTSP流到服务器,然后拉流端可以拉取RTSP、RTMP等流。ZLMediaKit码云链接...

MediaInfo 24.04.0 是一个关于多媒体文件的信息提供工具

MediaInfo24.04.0是一个关于多媒体文件的信息提供工具(仅当文件中包含信息时才提供):包括常规信息(标题、作者、导演、专辑、曲目编号、日期、时长等);视频信息(编解码器、画面比例、帧率...

rmvb格式视频怎么打开,rmvb转MP4认准这个方法

 一、rmvb是什么格式?  RMVB是一种视频文件格式,其中的VB指的是可变比特率。比起上一代的RM格式,RMVB  格式的画面比较清晰,因为它是降低了静态画面下的比特率。  二、制作rmvb  ①...

教你用Plex Media Server,把铁威马变成你的“私人好莱坞”!

TNAS(铁威马NAS)中可以安装多媒体服务器、影视、PlexMediaServer、EmbyServer作为个人媒体服务器使用。PlexMediaServer可以组织整理TNAS上的媒体...

你肯定用过!经典Windows软件被抛弃

Windows系统这些年持续更新的过程中,不断融入新的软件和功能的同时,一些经典的应用也渐渐成为了历史……Windows媒体播放器被抛弃Windows系统不断地推陈出新,一些老旧的组件也难免被抛弃,在...

博思得Q8标签打印全能手(博思得标签打印机安装教程)

2014-12-0905:35:00作者:宋达希【中关村在线办公打印频道原创】服装吊牌、洗涤标签、产品说明标签等都要用到标签打印机,这些标签涵盖多种尺寸的长度和宽度以及材质。另外作为一件商品或者产...

flv文件用什么播放器打开,这样做不踩雷!

FLV是FLASHVIDEO的简称,是随着FlashMX的推出发展而来的视频格式。它的出现有效地解决了视频文件导入Flash后,使导出的SWF文件体积庞大,不能在网络上很好的使用等问题。一、...

media player怎么转换格式?音频转换神器推荐!

Windowsmediaplayer怎么转换格式?WindowsMediaPlayer是微软公司出品的一款多媒体播放器,通常简称“WMP”。提供了编辑音频和视频文件的功能。用户可以使用该软件导...

视频参数检查工具更新:MediaInfo 23.10

MediaInfo提供有关视频或音频文件的技术和标签信息。信息示例包括编解码器、比特率、每秒帧数、宽度、高度、频道数、持续时间、标题、作者、字幕语言和章节名称。多种方式可以查看信息(文本、工作表、树和...

多媒体管理软件:JRiver Media Center 31.0.68 (64位)

JRiverMediaCenter64位是适用于大量库的完整媒体解决方案。它组织、播放和标记所有类型的媒体文件,并对Xbox、PS3、UPnP、DLNA和TiVo进行翻录、刻录。JRiverM...