文章总结: 本文详细阐述了超链接注入漏洞(HLI)的原理与危害,指出攻击者通过表单参数将恶意链接注入官方自动回复邮件,利用信任机制绕过安全检测。文章分析了结合ISO文件免杀的攻击手法,并提供了漏洞检测思路与PoC示例。建议通过白名单过滤、服务端验证及限制发送频率等措施进行有效防御。 综合评分: 85 文章分类: WEB安全,漏洞分析,渗透测试,红队
超链接注入(HyperLink Injection,HLI)
haidragon haidragon
安全狗的自我修养
2026年1月21日 15:46 湖南
官网:http://securitytech.cc
自从我搬到意大利之后,我的职业生涯发生了巨大变化。在协议合规性和安全标准方面,欧洲的信息安全与网络安全水平比我们领先了好几年。
这段时间以来,我一直在上报一种几乎没人关注的漏洞。事实上,我觉得非常奇怪,BugBounty 项目居然把它归类为“Informative(信息类)”漏洞。
正因如此,今天我想谈谈我最喜欢的一类漏洞之一。我认为它是 BugBounty 项目中被严重低估的漏洞之一。它非常简单,也非常容易利用,但却会造成严重的财务和运营问题。这种漏洞可以在不被察觉的情况下发动攻击,破坏应用程序的逻辑或功能。
我们说的就是 —— HyperLink Injection(超链接注入)漏洞。
按回车或点击可查看大图
免责声明
本文中所呈现的信息如被滥用,本人概不负责。其主要目的是帮助并告知系统管理员,在缺乏适当安全控制的情况下,漏洞可能造成的潜在问题。示例均基于经过授权的实验室环境,用于模拟真实世界场景,采用的是符合当前基础设施的技术与场景,而不是预配置的易受攻击机器。这使管理员能够为现实威胁做准备,而不仅仅停留在学术环境。真实域名已系统性混淆(使用 domain-fake.com 或类似方式),以保护隐私并避免法律风险。我始终遵循“明确授权”的原则开展工作。
我们来谈谈这个漏洞
Hyperlink Injection(HLI)漏洞允许攻击者劫持组织的自动化通知系统,用来分发恶意内容。攻击者可以通过联系表单、注册表单或支付表单,在参数中注入被操控的信息和恶意 URL。随后这些输入在没有正确过滤的情况下被反射到自动回复中(例如确认邮件)。
该攻击之所以有效,在于消息本身具有极高的信任度。由于邮件是从组织合法、官方的发件地址发送的(例如 [email protected]),其中包含的恶意链接很容易绕过基于发件人信誉的安全防护机制。这极大提高了钓鱼攻击或恶意软件下载在受害者信任身份下的成功率。
影响
该漏洞允许利用客户的邮件服务器向第三方发送恶意内容,从而造成严重的财务、运营以及企业形象问题。
我们在哪里能发现这种漏洞?
控制 Web 应用暴露的所有服务非常重要,尤其是涉及数据表单的功能。一个典型例子是当我们请求服务信息或提交申请时,通常需要填写姓名、姓氏和邮箱地址。
提交表单后,我们会自动收到一封邮件,例如:
“Fabian,感谢您请求信息,我们的代表将很快联系您。”
当验证自动回复内容中包含 “Name” 的值时,就存在客户端可能易受 HyperLink Injection 攻击的可能性。
该漏洞值得注意的一点是:根据 CVSS(通用漏洞评分系统),它的评分为 4.7(中危)。你可以通过 NIST 计算器验证:
按回车或点击可查看大图
在这种情况下,“User Interaction(用户交互)”是必需的,因为受害者必须点击链接。“Integrity(完整性)”被评为 Low,因为我们是滥用应用功能进行恶意行为,通过客户端官方通知服务器发送内容。
CVSS 分数会随环境变化。例如,如果联系或注册表单没有 CAPTCHA 或 Anti-CSRF Token,就可以向数据库“灌水”垃圾数据,甚至进行“邮件轰炸”,向成千上万的企业账户发送邮件,并通过受害客户的通知服务器感染大量公司。在这种场景下,评分可达 6.1(中危)。
按回车或点击可查看大图
功能性
我在多种表单中识别到了这种行为,特别是在用户注册或联系表单中。
本次测试使用的是一个存在漏洞的目标,但我已出于隐私与职业道德修改了域名。
用户通过填写表单请求信息或注册,输入名字、姓氏和邮箱。
按回车或点击可查看大图
提交后,客户端通知服务器会在几秒后发送自动回复。我们可以看到,“Name”和“Surname”参数中的内容被完整反射进邮件。
按回车或点击可查看大图
一个小细节是:不仅内容被反射,连大小写格式都被保留。这很有意思,因为系统通常会自己格式化。
此前我测试过 XSS、HTML Injection、XSTI、SSTI、SSRF 等,但没有任何效果,因为内容被当作纯文本。
但由于参数被“反射”,我们就可以利用这一点来执行 HyperLink Injection。
攻击者的行为
现在我们理解了自动通知的行为,我会创建一个恶意网站,任何点击的用户都会自动下载恶意文件,可能是勒索软件。当然这里只是“假勒索软件”。
问题是:我们使用什么扩展名?
我更喜欢用
.ISO。
按回车或点击可查看大图
攻击者常用 .ISO(或 .IMG、.VHD)来传播恶意软件,因为:
当 .exe 从网络下载时,Windows 会打上来源标记(MOTW),触发 SmartScreen。
但 ISO 挂载后,其中的文件不会继承该标记,Windows 会当成本地文件执行。
ISO 中可包含:
- 主勒索程序
- 关闭杀软脚本
- 网络传播工具
- 诱饵文件
攻击流程如下:
按回车或点击可查看大图
开始攻击
概念验证(PoC)
由于 “Name” 和 “Surname” 被反射,我们在 Name 中输入钓鱼内容,在 Surname 中输入 URL。
按回车或点击可查看大图
只要能反射 “.”,邮件客户端就会识别链接。
按回车或点击可查看大图
确认反射成功。
按回车或点击可查看大图
攻击示例:
Name: Dear you can find your new login
Surname: credentials at www.attacker--domain.com
Email: [email protected]
按回车或点击可查看大图
邮件进入受害者收件箱,而不是垃圾箱。
按回车或点击可查看大图
点击后下载 ISO。
按回车或点击可查看大图
挂载并执行恶意程序。
按回车或点击可查看大图
一个简单、隐蔽且高效的漏洞。
为什么这是我最喜欢的漏洞之一?
- 非常容易利用。
- 非常容易发现。
- 影响极其巨大而且静默。
因为它利用的是客户自己的邮件服务器。
缓解措施
- 白名单字符过滤
- 加入服务端 CAPTCHA
- 控制自动邮件发送量
结论
HyperLink Injection 是一种简单、隐蔽且极其有效的漏洞。 攻击者只需要一个暴露点即可入侵组织。
每当你在自动回复中看到自己的名字时,就该想到这个漏洞。
下次再见!
- 公众号:安全狗的自我修养
- vx:2207344074
- http://gitee.com/haidragon
- http://github.com/haidragon
- bilibili:haidragonx
#
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全狗的自我修养 haidragon haidragon《超链接注入(HyperLink Injection,HLI)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论