文章內容

如何利用注射技術攻擊郵件服務器

發布時間: 2012/6/15 17:42:32

本文將詳細介紹通過跟郵件億恩科技服務器通信的Web應用程序，即webmail應用來注入某些郵件協議（IMAP和SMTP協議）命令來攻擊郵件億恩科技服務器的原理、方法和防御措施。

一、Webmail應用程序的角色

Webmail應用程序通過IMAP和SMTP協議來管理用戶和他們的電子郵件之間的交互。從這一點來說，Webmail應用充當了客戶應用程序和郵件億恩科技服務器之間的代理角色。這個交互過程首先通過webmail應用程序來發送用戶的身份憑證（注冊號和口令）。此時，如果IMAP億恩科技服務器支持使用“login”認證方式的話，那么Webmail應用程序會向IMAP億恩科技服務器發送如下所示的命令：

AUTH LOGIN

同樣，這個應用程序還會將用戶的各種動作（如訪問郵箱、發送/刪除電子郵件、退出郵箱等）轉換成相應的IMAP和SMTP命令，然后把這些命令發送給相應的郵件億恩科技服務器。然而，webmail應用程序的功能有限，所以用戶只能生成該應用程序定義的選項所對應的那些IMAP或者SMTP命令。但是，用戶卻有可能改變被發送給郵件億恩科技服務器的那些IMAP和SMTP命令。

下面，就讓我們來看一下這種技術的工作原理吧！

二、郵件億恩科技服務器注射技術原理

與廣為人知的諸如SQL注射、LDAP注射、SSI注射、XPath注射、CRLF注射等注射技術類似，郵件億恩科技服務器注射技術也是通過一個對用戶提供的數據沒有嚴格檢查的webmail應用程序將IMAP命令或者SMTP命令注射到郵件億恩科技服務器。當通過webmail應用程序使用的后臺郵件億恩科技服務器無法直接經由Internet訪問時，郵件億恩科技服務器注射技術格外有用。

要向郵件億恩科技服務器注入命令，前提條件是允許用戶通過webmail應用程序訪問其端口25（SMTP）和143（IMAP）。

郵件億恩科技服務器注射來利用一個應用程序的攻擊者來說，他們相當于直接訪問了被防火墻隔離的原始電子郵件服務端口（即繞過了防火墻）。通過利用這種技術，攻擊者可以進行各式各樣的活動和攻擊，至于到底能做哪些事情，這要取決于被注入命令的億恩科技服務器的類型。之所以這樣說，是因為Webmail應用會把來自用戶的請求轉換成各種IMAP和SMTP協議命令。下面介紹如何利用這兩種協議。

在進行IMAP注射時，注入的命令最終是由IMAP億恩科技服務器執行的，所以命令必須遵循這個協議的格式和規范。Webmail應用程序為了完成客戶請求的操作，必須跟IMAP億恩科技服務器進行通信，這正是它們容易遭受這種攻擊的原因。在用戶驗證身份的時候，webmail應用程序將用戶的憑證傳送到IMAP億恩科技服務器，因此，利用IMAP億恩科技服務器的驗證機制，無需在該應用程序中具有一個有效帳戶就能夠進行IMAP注射。注入IMAP命令之前，用戶必須找出跟郵件億恩科技服務器通信時所用的所有參數，并弄清楚這些參數跟應用程序的功能的關系，如：

◆認證/登錄/退出
◆郵箱操作（顯示、閱讀、創建、刪除、重命名）
◆消息操作（閱讀、復制、移動、刪除）

現在讓我們看一個利用消息閱讀功能來進行IMAP注射的例子。假定webmail應用程序使用參數“message_id”來存放用戶想要閱讀的消息的標識符。當一個包含消息標識符的請求發出時，該請求看起來像下面的樣子：

http:///read_email.php?message_id=

假如網頁“read_email.php”負責顯示有關消息，它直接把請求發給IMAP億恩科技服務器，而不對用戶提供的值做任何檢驗。這時發給郵件億恩科技服務器的命令將是下面的樣子：

FETCH BODY[HEADER]

在這種情況下，我們就可以通過應用程序用來與郵件億恩科技服務器通信的參數“message_id”來發動IMAP注射攻擊。例如，可以利用下列命令來注入IMAP命令“CAPABILITY”：

http:///read_email.php?message_id=1 BODY[HEADER]%0d%0aZ900 CAPABILITY%0d%0aZ901 FETCH 1

這將導致億恩科技服務器執行下列IMAP命令：

FETCH 1 BODY[HEADER]
Z900 CAPABILITY
Z901 FETCH 1 BODY[HEADER]

所以該億恩科技服務器返回的頁面顯示的是在IMAP億恩科技服務器中的“CAPABILITY”命令的結果：

* CAPABILITY IMAP4rev1 CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES
SORT QUOTA ACL ACL2=UNION
Z900 OK CAPABILITY completed

三、SMTP注射

這里，我們要向SMTP億恩科技服務器注射命令，所以注入的命令必須遵循SMTP協議。由于這些活動是使用SMTP協議的應用程序所允許的，所以我們基本上就是去模仿發送電子郵件。要利用SMTP注射，用戶必須事先通過認證，所以用戶必須有一個有效的webmail帳戶。

通過SMTP發送電子郵件消息的格式如下：

◆發送方的e-mail地址
◆接收方的e-mail地址
◆主題
◆消息主體
◆附件

下面是一個通過存放消息主題的參數來進行SMTP注射的例子。

如前所述，這種技術的使用要求用戶是經過認證的，并且可以針對發送電子郵件時的webmail參數進行SMTP命令注射。一般的，webmail應用程序會提供給用戶一個表單，用戶必須在表單中提供必要信息，這些信息將被發送給負責創建發送電子郵件所必需的原始SMTP命令的資源。

發送電子郵件的請求一般如下所示：

POST http:///compose.php HTTP/1.1
...
-----------------------------134475172700422922879687252
Content-Disposition: form-data; name="subject"
SMTP Injection Example
-----------------------------134475172700422922879687252
...

這將導致SMTP億恩科技服務器執行下列命令：

MAIL FROM:
RCPT TO:
DATA
Subject: SMTP Injection Example
...

如果webmail應用程序沒有對參數“subject”中的值進行必要的驗證，那么攻擊者可以在其中注入額外的SMTP命令：

POST http:///compose.php HTTP/1.1
...
-----------------------------134475172700422922879687252
Content-Disposition: form-data; name="subject"
SMTP Injection Example
.
MAIL FROM: notexist@external.com
RCPT TO: user@domain.com
DATA
Email data
.
-----------------------------134475172700422922879687252
...

上面注入的命令將生成一個將被發送給郵件億恩科技服務器的SMTP命令序列，其中包含MAIL FROM、RCPT TO和DATA等命令，如下所示：
MAIL FROM:
RCPT TO:
DATA
Subject: SMTP Injection Example
.
MAIL FROM: notexist@external.com
RCPT TO: user@domain.com
DATA
Email data
.
...

四、郵件億恩科技服務器注射的優勢

對于郵件函數的注射之前人們就討論過，但說得最多的還是PHP的mail（）函數中的CRLF注射。然而，這些文章直到現在僅對某些部位進行注射，如email頭部注射等。這種類型的注射允許一個人進行各種的操作（發送匿名電子郵件、垃圾郵件/轉發等等）。實際上，使用郵件億恩科技服務器注射技術也能達到這些目的，因為它們都是基于同種類型的弱點。與之相比，郵件億恩科技服務器注射技術的過人之處是能向受影響的郵件億恩科技服務器注射所有命令，而沒有任何限制。就是說，這種利用技術不僅允許對電子郵件頭部進行注入（“From :”、“Subject :”、“To :”等），而且還可以向跟webmail應用程序通信的郵件億恩科技服務器（IMAP/SMTP）注入任意的命令。

郵件億恩科技服務器注射遠勝過對webmail應用程序提供的功能的“簡單”濫用，例如發送大量電子郵件等。這種技術允許人們執行webmail應用程序提供的常規動作之外的額外的動作，如通過IMAP命令引起郵件億恩科技服務器的緩沖區溢出等。對于滲透測試人員來說，注入任意的命令是他們夢寐以求的，因為這在某些情況下可以完全控制郵件億恩科技服務器，以便對其各種弱點進行測試。

五、發動攻擊

下面我們用實例來解釋不同類型的郵件億恩科技服務器攻擊方法，以及郵件億恩科技服務器注射技術示例。這樣的實例曾發生在SquirrelMail（1.2.7和1.4.5版本）和Hastymail（1.0.2和1.5版本）這兩種Webmail應用程序上。因為SquirrelMail團隊已經廢止了SquirrelMail的1.2.7版本，而推薦的最低版本為1.4.6，因為之前的版本都有弱點。Hastymail在1.5之前的所有版本都容易受到SMTP和IMAP注射的影響，所以要經常檢查最新的補丁。SquirrelMail和Hastymail團隊在收到這些問題的通知后，都迅速進行了修正。不久之后，Nessus發布了一個檢查這種弱點的插件。

實施攻擊時，必須經過以下兩個步驟：

確定出一個有弱點的參數；

了解它的作用范圍。

（一）發現有弱點的參數

識別有弱點的參數的方法可以采用其他類型注射所采用的方法：試探法。也就是說，要發送具有異常值（應用程序的非預期值）的請求給原始IMAP和SMTP命令所用到的每個可疑參數，然后分析其行為，從而找出可以利用的參數。下面舉例說明。

當用戶要訪問SquirrelMail中的收件箱（INBOX）時，所用的請求如下所示：

http: //src/right_main.php?PG_SHOWALL=0&sort=0&startMessage=1&mailbox=INBOX

如果用戶用下列方式修改參數“mailbox”的值：

http:///src/right_main.php?PG_SHOWALL=0&sort=0&startMessage=1&mailbox=INBOX%22

那么應用程序就會返回一個如下所示的錯誤信息：

ERROR : Bad or malformed request.

Query: SELECT "INBOX""

Server responded: Unexpected extra arguments to Select

顯然，這不是該應用程序所期望的正常行為。此外，該消息顯示IMAP命令“SELECT”正在被執行。利用這個方法，我們可以推斷出參數“mailbox”具有郵件億恩科技服務器注射漏洞，準確來說是容易受到IMAP注射的攻擊。在其他情況下，有弱點的參數的檢測和利用沒有這么明顯。例如，當用戶訪問它們的Hastymail收件箱時，相應的請求如下所示：

http:///html/mailbox.php?id=7944bf5a2e616484769472002f8c1&mailbox=INBOX

如果用戶用下列方式修改參數“mailbox”的值：

http:///html/mailbox.php?id=7944bf5a2e616484769472002f8c1&mailbox=INBOX"

應用程序將回應下列消息：

Could not access the following folders:

INBOX\"

To check for outside changes to the folder list go to the folders page

在此種情況下，添加引號并沒有改變應用程序的行為。結果跟用戶已經注入其他任何字符時一樣：

http:///html/mailbox.php?id=7944bf5a2e616484769472002f8c1&mailbox=NOTEXIST

那么應用程序就會返回同樣的錯誤信息：

Could not access the following folders:

NOTEXIST