日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
實戰(zhàn):PHP郵件注入

一、簡介

創(chuàng)新新互聯(lián),憑借10多年的成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)經(jīng)驗,本著真心·誠心服務(wù)的企業(yè)理念服務(wù)于成都中小企業(yè)設(shè)計網(wǎng)站有上1000家案例。做網(wǎng)站建設(shè),選創(chuàng)新互聯(lián)。

如今,互聯(lián)網(wǎng)的使用急劇上升,但絕大多數(shù)互聯(lián)網(wǎng)用戶沒有安全知識背景。大多數(shù)的人都會使用互聯(lián)網(wǎng)通過郵件Email的方式和他人進行通信。出于這個原因,大多數(shù)網(wǎng)站允許他們的用戶聯(lián)系他們,向網(wǎng)站提供建議,報告一個問題,或者要求反饋,用戶將會發(fā)送反饋給網(wǎng)站管理員的電子郵件。

不幸的是,大多數(shù)web開發(fā)人員對安全編碼Code-Security沒有足夠的認識,其中的一些程序猿使用現(xiàn)成的庫或框架,這些庫受到許多已知的漏洞。這些漏洞是已經(jīng)公布,廠商并已經(jīng)對其進行了修補,并且相應的攻擊源代碼poc都在互聯(lián)網(wǎng)上可下載的,但大多數(shù)開發(fā)人員都懶得升級到最新版本。

今天我們要談?wù)撾娮余]件注射,攻擊者可以使用你的郵件服務(wù)器來發(fā)送垃圾郵件。

二、郵件注入

From Wikipedia:

電子郵件注入是一個安全漏洞,這種漏洞廣泛存在于在互聯(lián)網(wǎng)電子郵件收發(fā)應用中。這是電子郵件注射和HTTP頭注射類似。和SQL注入攻擊類似,這種漏洞是一類常見的的漏洞,發(fā)生在當一個編程語言是嵌入到另一個,例如MYSQL嵌入到PHP中。

當一個可以提交數(shù)據(jù)到一個Web應用程序表單被添加到一個Web頁面,惡意用戶可能會利用MIME格式添加額外的信息到要發(fā)送的消息中(POST/GET),比如一個新的收件人列表或一個完全不同的消息體。因為MIME格式使用回車分隔在數(shù)據(jù)包中信息(HTTP數(shù)據(jù)包中的每一行之間都有一個換行符,在POST和HTTP HEADER之間有兩個換行符),通過添加回車提交表單數(shù)據(jù)(使用FB的一些插件可以很容易的做到),可以允許一個簡單的留言板是用來發(fā)送成千上萬的消息。同樣,一個垃圾郵件發(fā)送者可以使用這種戰(zhàn)術(shù)的惡意發(fā)送大量的匿名消息。

電子郵件注入是針對PHP內(nèi)置郵件功能的一種攻擊類型。它允許惡意攻擊者注入任何郵件頭字段,BCC、CC、主題等,它允許黑客通過注入手段從受害者的郵件服務(wù)器發(fā)送垃圾郵件。由于這個原因,這種攻擊稱為電子郵件注入,或者郵件形式濫發(fā)。這個漏洞是不限于PHP。它可能會影響任何從用戶UI接收消息并發(fā)送電子郵件消息的應用程序。這種攻擊的主要原因是不適當?shù)挠脩糨斎腧炞C或應用程序根本沒有驗證和過濾機制。#p#

三、郵件注入的攻擊原理

中國古話說得好: 知其然才能知其所以然。

為了解釋郵件注入的工作原理,我們必須先了解PHP Email函數(shù)的工作原理。下面是從PHP Manual中找到API解釋

 
mail():
http://www.php.net/manual/en/function.mail.php
bool mail ( string $to , string $subject , string $message [, string $additional_headers [, string $additional_parameters ]] )

你可以注意到,這需要三個必填參數(shù)(”目的地、主題和消息”)和其他一些可選參數(shù)和函數(shù)返回一個布爾值。

那么讓我們來看看一個帶漏洞的代碼來演示這個漏洞:

 
 
 
 
    
  
  
  
  
  1.   
  
  
  
  2.  $to="littlehann@foxmail.com"; 
    3.   
  
  
  
  3.  if (!isset($_POST["send"])) 
    4.   
  
  
  
  4.  { 
    5.   
  
  
  
  5. ?> 
    6.   
  
  
  
  6.    "> 
    7.   
  
  
  
  7.    From:  
    8.   
  
  
  
  8.    Subject :  
    9.   
  
  
  
  9.    Message : 
    10.   
  
  
  
  10.     
    11.   
  
  
  
  11.     
    12.   
  
  
  
  12.     
    13.   
  
  
  
  13.   
  
  
  
  14.  } 
    15.   
  
  
  
  15.  else 
    16.   
  
  
  
  16.  { 
    17.   
  
  
  
  17.    // the form has been submitted 
    18.   
  
  
  
  18.    $from=$_POST['sender']; 
    19.   
  
  
  
  19.    // send mail : 
    20.   
  
  
  
  20.    if (mail($to,$_POST['subject'],$_POST['message'],"From: $fromn")) 
    21.   
  
  
  
  21.    { 
    22.   
  
  
  
  22.      echo "Your mail has been sent successfully"; 
    23.   
  
  
  
  23.    } 
    24.   
  
  
  
  24.    else 
    25.   
  
  
  
  25.    { 
    26.   
  
  
  
  26.      echo "An error has been occured !"; 
    27.   
  
  
  
  27.    } 
    28.   
  
  
  
  28.  } 
    29.   
  
  
  
  29.  ?> 
    30.

前面的代碼將用于演示目的和解釋我們的攻擊原理。我們將前面的代碼分成三個部分:

第一部分

 
 
 
 
    
  
  
  
  
  1.   
  
  
  
  2.  $to="littlehann@foxmail.com"; 
    3.   
  
  
  
  3.  if (!isset($_POST["send"])){ 
    4.   
  
  
  
  4. ?> 
    5.

這段代碼將檢查表單提交或不是。用戶點擊提交按鈕和普通訪問這個頁面腳本的響應將是不同的,如果這段代碼返回True(if語句中的判斷最終結(jié)果為true)這意味著表單沒有提交。表單將出現(xiàn),等待用戶輸入。另一方面,如果它返回"False",這意味著表單已經(jīng)提交,所以電子郵件將被發(fā)送。

第二部分

 
 
 
 
    
  
  
  
  
  1. "> 
    2.   
  
  
  
  2. From:  
    3.   
  
  
  
  3. Subject :  
    4.   
  
  
  
  4. Message : 
    5.   
  
  
  
  5.  
    6.   
  
  
  
  6.  
    7.   
  
  
  
  7.  
    8.

第二部分是一個HTML表單標記,這要求用戶輸入。

第三部分

 
 
 
 
    
  
  
  
  
  1.   
  
  
  
    3.   
  
  
  
  3. else 
    4.   
  
  
  
    5.   
  
  
  
  5.    // the form has been submitted 
    6.   
  
  
  
  6.    $from=$_POST['sender']; 
    7.   
  
  
  
  7.    // send mail : 
    8.   
  
  
  
  8.    if (mail($to,$_POST['subject'],$_POST['message'],"From: $fromn")) 
    9.   
  
  
  
  9.    { 
    10.   
  
  
  
  10.      echo "Your mail has been sent successfully"; 
    11.   
  
  
  
  11.    } 
    12.   
  
  
  
  12.    else 
    13.   
  
  
  
  13.    { 
    14.   
  
  
  
  14.      echo "An error has been occured !"; 
    15.   
  
  
  
  15.    } 
    16.   
  
  
  
    17.   
  
  
  
  17. ?> 
    18.

在前面的代碼中我們可以特別注意這一行mail($to,$_POST['subject'],$_POST['message'],”From: $fromn”), PHP的mail()函數(shù)需要subject, message, from 這些參數(shù)。如果函數(shù)執(zhí)行成功,由PHP引擎發(fā)送郵件后,將打印出成功提示 "Your mail has been sent successfully"。如果出現(xiàn)錯誤,將提示相應信息 "An error has been occurred"

但是有朋友要問了,問題在哪里?主要的問題對用戶的輸入沒有做必要的驗證和過濾,正如《白帽子講web安全》里說到的,任何的安全問題可以歸結(jié)為信任的問題,這里存在的問題就是程序代碼對用戶的輸入無限制的信任。正如你所看到的在第三部分代碼,發(fā)送郵件功能代碼從用戶接收輸入(包括郵件主題、消息和來源等),參數(shù)沒有過濾和驗證。因此,惡意攻擊者可以任意控制這些參數(shù)的值,用戶發(fā)送inject攻擊。#p#

四、郵件注入示范

notice:

為了使用PHP作為郵件發(fā)送代理,我們需要對PHP.INI進行簡單的配置:

[mail function]
; For Win32 only.
; http://php.net/smtp
SMTP = smtp.qq.com
; http://php.net/smtp-port
smtp_port = 25

出于演示目的,我們將使用前面的帶漏洞的代碼。此外,我們將提交下列值作為發(fā)送郵件的參數(shù):

mail("littlehann@foxmail.com", "Call me urgent", "Hi,nPlease call me ASAP.nBye", "From: littlehann@foxmail.comn")

表單發(fā)送的HTTP數(shù)據(jù)包:

從攻擊者的角度來看,有許多額外的字段,可以被注入在郵件標題。更多信息見RFC 822。例如,CC(抄送)或者BCC(密送)允許攻擊者插入更多的消息。

但要注意的是,我們在添加一個新的參數(shù)之前,我們必須增加一個換行符分隔每個字段。換行符的16進制值為"0x0A"。下面是一個demo code。

1) Cc/Bcc注入

在發(fā)送者字段(sender)后注入Cc和Bcc參數(shù)

From:sender@domain.com%0ACc:recipient@domain.com%0ABcc:recipient1@domain.com

所以現(xiàn)在,消息將被發(fā)送到recipient和recipient1賬戶。

2) 參數(shù)注射

From:sender@domain.com%0ATo:attacker@domain.com

現(xiàn)在消息將被發(fā)送到原來的收件人和攻擊者帳戶。注意,這里的攻擊者的賬戶是我們通過注入額外傳入的。

3) 郵件主題注入

From:sender@domain.com%0ASubject:This’s%20Fake%20Subject

攻擊者注入的假的主題subject將被添加到原來的主題中并且在某些情況下將取代原本的主題subject。這取決于郵件服務(wù)行為。即代碼編寫的容錯性,當參數(shù)中出現(xiàn)兩個subject的時候代碼是選擇丟棄還是后者覆蓋。

4) 改變消息的主體body

要注意SMTP的Mail格式,消息主題和頭部Header之間有兩個換行符(和HTTP是一樣的)。

From:sender@domain.com%0A%0AMy%20New%20%0Fake%20Message.

假消息將被添加到原始消息中。#p#

五、實戰(zhàn)演示

這里提示一下,直接配置php.ini原生的email功能可能不太好用,配置起來也麻煩,建議采用一些第三方的Email系統(tǒng)(WP就挺不錯的)進行發(fā)送,這個模塊已經(jīng)把相關(guān)的交互和HTTP數(shù)據(jù)包的構(gòu)造封裝好了。

附帶上一些實驗截圖:

1) 正常發(fā)送

2) Cc/Bcc注入

在From字段添加Inject Payload

發(fā)送郵件后,增加了抄送的功能:

3) 郵件主題注入

我們在from的參數(shù)加添加subject字段:

接收郵件后:

可以看到,原本的subject被注入語句覆蓋了一部分內(nèi)容,但是具體是覆蓋還是附加和具體的PHP代碼編寫邏輯有關(guān),因為現(xiàn)在CMS對Email發(fā)送的普通做法就是利用PHP進行HTTP/HTTPS數(shù)據(jù)包的構(gòu)造,先在本地構(gòu)造好數(shù)據(jù)包后,再想服務(wù)器發(fā)送。

所以不同的系統(tǒng)對email注入的效果會有所不同。

4) 改變消息的主體body

這里要注意的的,SMTP區(qū)分消息頭部和消息主題是依據(jù)%0A%0A雙換行符決定的。

發(fā)送郵件后,我們發(fā)現(xiàn)消息的消息體已經(jīng)被修改了。

以上就是我在本地的PHP環(huán)境中模擬實驗的結(jié)果,因為環(huán)境和程序代碼處理邏輯的差異,可能在不同的環(huán)境下實驗會有差異,我的經(jīng)驗是根據(jù)不同的PHP CMS系統(tǒng)的Email源代碼進行分析,理清發(fā)送Email數(shù)據(jù)包的代碼邏輯,有針對性的進行email 注入。

六、解決方案

1. 永遠不要信任用戶的輸入字段。所有用戶輸入應該被認為是不可信的和潛在的惡意。應用程序不受信任的輸入過程可能會變得容易受到諸如緩沖區(qū)溢出攻擊、SQL注入,OS指令注入、拒絕服務(wù)和電子郵件注入。

2. 使用正則表達式來過濾用用戶提交的數(shù)據(jù)。例如,我們可以在輸入字符串中搜索(r 或 n)。

3. 使用外部組件和庫,提供防范這個問題像 ZEND mail、PEAR mail和swift mailer。

4. ModSecurity可以阻止服務(wù)器級別的電子郵件注入。利用ModSecurity,我們可以檢測通過POST或GET提交的CC, BCC或目的地址,并且拒絕任何包含這些字母請求。

七、 引用

1- http://www.securephpwiki.com/

2- http://projects.webappsec.org/

3- http://en.wikipedia.org/

4-http://www.damonkohler.com

PHP Email Injection

Reference From: http://resources.infosecinstitute.com/email-injection/

Translated By: LittleHann

當前題目:實戰(zhàn):PHP郵件注入
本文鏈接:http://www.dlmjj.cn/article/dhdiise.html