SMTP协议 on 办公AI智能小助手 https://blog.qife122.com/tags/smtp%E5%8D%8F%E8%AE%AE/ Recent content in SMTP协议 on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Sep 2025 10:46:01 +0800 libcurl SMTP客户端CRLF注入漏洞分析 https://blog.qife122.com/p/libcurl-smtp%E5%AE%A2%E6%88%B7%E7%AB%AFcrlf%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 10 Sep 2025 10:46:01 +0800 https://blog.qife122.com/p/libcurl-smtp%E5%AE%A2%E6%88%B7%E7%AB%AFcrlf%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="crlf注入在libcurl的smtp客户端通过mail-from和mail-rcpt允许smtp命令走私">CRLF注入在libcurl的SMTP客户端通过&ndash;mail-from和&ndash;mail-rcpt允许SMTP命令走私</h1> <h2 id="摘要">摘要</h2> <p>libcurl的SMTP客户端通过&ndash;mail-from和&ndash;mail-rcpt参数存在CRLF注入漏洞。攻击者可以注入换行字符来走私SMTP命令如VRFY,可能启用用户枚举或协议滥用。虽然curl可能在注入后失败,但注入的命令由SMTP服务器执行,确认了漏洞存在。</p>