利用自动邮件回复功能获得内部访问权限

admin 2024年10月30日19:33:04评论8 views字数 1663阅读5分32秒阅读模式

 

每当您向公司地址 [email protected] 或 [email protected] 发送电子邮件时,您可能会注意到会收到自动回复。

利用自动邮件回复功能获得内部访问权限img

现在,您是否在自动回复中发现了一些有趣的内容?

邮件通常由两部分组成:

1.来自邮件服务器的自动回复消息。
2.客户端发送的原始消息。
利用自动邮件回复功能获得内部访问权限

img
邮件内容会被回传给发件人自己,所以看起来没有什么可以利用的风险。
但还是有可能的!
用回复地址功
几乎所有的邮件服务都提供了一个reply-to(回复地址)选项。
如果我们从rikesh@gmail.com发送邮件,并将reply-to设置为[email protected],那么回复邮件将会被转发至[email protected],而不是原本的rikesh@gmail.com
利用自动邮件回复功能获得内部访问权限

img
邀请功能
许多SaaS组织允许管理员邀请用户加入他们的组织。
例如,Figma。Figma是一款被众多公司广泛使用的SaaS产品。
在我的测试中,我观察到:
如果我([email protected])向用户 [email protected] 发送邀请,邀请链接会以下述方式发送。
利用自动邮件回复功能获得内部访问权限

img
邮件示例
发送方:no-reply@email.figma.com [Figma]
接收方:[email protected] [被邀请者]
回复至:[email protected] [邀请者]
哇,我们能够将攻击者控制的电子邮件地址设为reply-to地址吗?
整合利用链
Figma发送的邀请链接其实是一个用于加入组织的注册链接。
假设[email protected]是一个自动回复邮箱地址
这个地址会自动回复所有接收到的邮件。
自动回复内容分为两部分:
1.感谢您的留言
2.收到的原始邮件内容
因此,现在如果我([email protected])邀请[email protected]加入我的Figma团队,
Figma会先将注册链接发送给[email protected]
接着,[email protected]会自动回复该邮件并表示:
“我们已收到您的请求”,并附上“收到的原始邮件内容,包括邀请链接”。
关键在于,Figma会将邀请者的地址(reply-to地址)设置为[email protected]
因此所有的回复都会转发给邀请人本身。
效果如何?
流程示意
利用自动邮件回复功能获得内部访问权限

img
邀请者收到的电子邮件图
利用自动邮件回复功能获得内部访问权限

img
漏洞利用及其影响
许多网站的自动回复系统会自动回复收到的邮件,例如 [email protected][email protected] 等。
利用这一点,攻击者可以在 Figma 中声称拥有任何 @target.com 的邮箱地址。
Figma 具有域捕获功能,这意味着如果攻击者拥有经过验证的 @target.com 邮箱地址,就可以自动加入 Figma 内部的工作空间。
利用自动邮件回复功能获得内部访问权限

img
Figma 确实支持 SSO 登录选项,因此基于 SSO 登录的组织免受该攻击的影响。
将漏洞用于攻击 Figma 自身
Figma 使用 Zendesk 处理用户支持票据,用户可以通过 Figma 账户登录 Zendesk。
在此次利用中,我向一个自动回复邮箱地址 figma@redacted-figma-asset.com 发送了邀请。
成功获取了注册链接后,我使用该 Figma 邮箱地址创建了一个已验证的 Figma 账户。
随后,通过该 Figma 账户登录 Zendesk,获得了对内部票据的访问权限。
总结来说,这是一系列非常巧妙的问题利用链。
利用自动邮件回复功能获得内部访问权限

img
以上内容由白帽子左一翻译并整理。原文:https://rikeshbaniya.medium.com/abusing-auto-mail-responders-to-access-internal-workplaces-04fcc8ba2c99

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。

原文始发于微信公众号(白帽子左一):赏金漏洞挖掘 | 利用自动邮件回复功能获得内部访问权限

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月30日19:33:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用自动邮件回复功能获得内部访问权限https://cn-sec.com/archives/3333675.html

发表评论

匿名网友 填写信息