惊到我了!也就是说我们构造的Payload成功了,其中插入的Payload字符:we newlinew newlinell,被谷歌邮件服务端解析成了多行了!由于每一个头信息占一行,所以subject之后的Payload:we newlinew newlinell被推到了后续显示,成为了这里的邮件内容(email body)。这就是一种典型的SMTP注入啊!
接下来,我构造了一个更有意思的Payload,再次对其中的subject设置做了手脚,这一次,我包含进行了邮件发件人的from头信息,即:
再一次成功了!Gmail把它解析成了发件人为admin@google.com的邮件:
就这样,我可以伪造任意后缀为@google.com的发件人身份!
漏洞上报和处理进程2020.1.5 附带Payload报送谷歌2020.1.13 谷歌接受漏洞2020.1.15 我发送包含admin@google.com的有效POC详细技术信息给谷歌2020.2.11 谷歌发放赏金$3133.7