每当您向公司地址 [email protected] 或 [email protected] 发送电子邮件时,您可能会注意到会收到自动回复。
现在,您是否在自动回复中发现了一些有趣的内容?
邮件通常由两部分组成:
1.来自邮件服务器的自动回复消息。
2.客户端发送的原始消息。
邮件内容会被回传给发件人自己,所以看起来没有什么可以利用的风险。
但还是有可能的!
利用回复地址功能
几乎所有的邮件服务都提供了一个reply-to(回复地址)选项。
如果我们从[email protected]发送邮件,并将reply-to设置为[email protected],那么回复邮件将会被转发至[email protected],而不是原本的[email protected]。
邀请功能
许多SaaS组织允许管理员邀请用户加入他们的组织。
例如,Figma。Figma是一款被众多公司广泛使用的SaaS产品。
在我的测试中,我观察到:
如果我([email protected])向用户 [email protected] 发送邀请,邀请链接会以下述方式发送。
邮件示例
发送方:[email protected] [Figma]
接收方:[email protected] [被邀请者]
回复至:[email protected] [邀请者]
哇,我们能够将攻击者控制的电子邮件地址设为reply-to地址吗?
整合利用链
Figma发送的邀请链接其实是一个用于加入组织的注册链接。
假设[email protected]是一个自动回复邮箱地址。
这个地址会自动回复所有接收到的邮件。
自动回复内容分为两部分:
1.感谢您的留言
2.收到的原始邮件内容
因此,现在如果我([email protected])邀请[email protected]加入我的Figma团队,
Figma会先将注册链接发送给[email protected]。
接着,[email protected]会自动回复该邮件并表示:
“我们已收到您的请求”,并附上“收到的原始邮件内容,包括邀请链接”。
关键在于,Figma会将邀请者的地址(reply-to地址)设置为[email protected],
因此所有的回复都会转发给邀请人本身。
效果如何?
流程示意
邀请者收到的电子邮件图
漏洞利用及其影响
许多网站的自动回复系统会自动回复收到的邮件,例如 [email protected]、[email protected] 等。
利用这一点,攻击者可以在 Figma 中声称拥有任何 @target.com 的邮箱地址。
Figma 具有域捕获功能,这意味着如果攻击者拥有经过验证的 @target.com 邮箱地址,就可以自动加入 Figma 内部的工作空间。
Figma 确实支持 SSO 登录选项,因此基于 SSO 登录的组织免受该攻击的影响。
将漏洞用于攻击 Figma 自身
Figma 使用 Zendesk 处理用户支持票据,用户可以通过 Figma 账户登录 Zendesk。
在此次利用中,我向一个自动回复邮箱地址 [email protected] 发送了邀请。
成功获取了注册链接后,我使用该 Figma 邮箱地址创建了一个已验证的 Figma 账户。
随后,通过该 Figma 账户登录 Zendesk,获得了对内部票据的访问权限。
总结来说,这是一系列非常巧妙的问题利用链。
无 偿 获 取 网 安 资 料:
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关