turbomail文件读取漏洞 | wooyun-2014-074431| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074431

漏洞标题：turbomail文件读取漏洞

漏洞作者： applychen

提交时间：2014-08-31 00:07

修复时间：2014-09-05 00:08

公开时间：2014-09-05 00:08

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-08-31：细节已通知厂商并且等待厂商处理中
2014-09-05：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

登录情况下有效。

详细说明：

Web.xml中有个j2me的servlet

打开反编译出来的J2MEServlet.java，有以下的代码：

else if (ACTION_TYPE.equals("ACTION_VIEW_EMAIL_ATTACHS")) {
/* 348 */         String sessionId = dataInputStream.readUTF();
/* 349 */         if (sessionId == null) {
/* 350 */           return;
/*     */         }
/*     */ 
/* 353 */         String mbtype = dataInputStream.readUTF();
/* 354 */         String msgid = dataInputStream.readUTF();
/* 355 */         String realFileName = dataInputStream.readUTF();
/* 356 */         String fileName = dataInputStream.readUTF();
/* 357 */         dataOutputStream.writeUTF(MailAdmin.getAttachContent(sessionId, 
/* 358 */           mbtype, msgid, realFileName, fileName));
/*     */       }
/*     */     }
/*     */     catch (Exception e) {
/* 362 */       e.printStackTrace();
/*     */     }
/*     */ 
/* 367 */     byte[] bs1 = byte_stream.toByteArray();
/*     */ 
/* 369 */     byte[] bs = ZipUtil.compress(bs1);
/* 370 */     response.setContentLength(bs.length);
/* 371 */     response.getOutputStream().write(bs);
/*     */ 
/* 374 */     response.getOutputStream().flush();
/*     */   }

程序使用readUTF()获取数据，然后在357那里调用了MailAdmin.getAttachContent()方法，在MailAdmin.java文件中找到此方法定义：

/*      */   public static String getAttachContent(String sessionid, String mbtype, String msgid, String realFileName, String fileName)
/*      */     throws UnsupportedEncodingException
/*      */   {
/*  421 */     MailSession ms = MailMain.s_sessionadmin.getSession(sessionid);
/*  422 */     UserInfo userinfo = ms.userinfo;
/*  423 */     msgid = 
/*  424 */       Util.formatRequest(msgid, MailMain.s_os, SysConts.New_InCharSet);
/*  425 */     String prefix = ms.temp_path;
/*  426 */     String path = prefix + SysConts.FILE_SEPARATOR + userinfo.getUid() + 
/*  427 */       "@" + userinfo.domain;
/*  428 */     path = path + SysConts.FILE_SEPARATOR + 
/*  429 */       Util.GBToISO(mbtype, ms.encoding, MailMain.s_os);
/*  430 */     path = path + SysConts.FILE_SEPARATOR + msgid;
/*      */ 
/*  432 */     String realfile = path + SysConts.FILE_SEPARATOR + realFileName;
/*  433 */     String strContent = "";
/*      */ 
/*  435 */     if (fileName.endsWith(".txt")) {
/*  436 */       FileInputStream fis = null;
/*  437 */       byte[] bs = null;
/*      */       try
/*      */       {
/*  440 */         File f = new File(realfile);
/*  441 */         if (f.exists()) {
/*  442 */           int iLen = (int)f.length();
/*  443 */           bs = new byte[iLen];
/*  444 */           fis = new FileInputStream(realfile);
/*  445 */           fis.read(bs);
/*  446 */           fis.close();
/*      */         }
/*      */       } catch (Exception localException) {
/*      */       }
/*      */       try {
/*  451 */         if (fis != null)
/*  452 */           fis.close();
/*      */       }
/*      */       catch (Exception localException1) {
/*      */       }
/*  456 */       if (bs != null)
/*  457 */         strContent = new String(bs, ServerConf.s_Default_Encoding);
/*  458 */     } else if (fileName.endsWith(".pdf")) {
/*  459 */       strContent = PDFUtil.getTextFromPDF(realfile);
/*  460 */     } else if (fileName.endsWith(".doc")) {
/*  461 */       strContent = POIUtil.getTextFromWord(realfile);
/*  462 */     } else if (fileName.endsWith(".ppt")) {
/*  463 */       strContent = POIUtil.getTextFromPowerPoint(realfile);
/*  464 */     } else if (fileName.endsWith(".xls")) {
/*  465 */       strContent = POIUtil.getTextFromExcel(realfile);
/*      */     }
/*  467 */     strContent = Util.replace(strContent, "\r", "");
/*  468 */     return strContent;
/*      */   }

最终的读取的文件路径realfile由以下的数据组成：

String realfile = path + SysConts.FILE_SEPARATOR + realFileName;

控制realFileName参数的值即可浏览文件，下面用writeUTF构造POST数据（注意需要登录之后的sessionid）:

读取回来的数据在程序中使用ZipUtil.compress()加密，大概是这个样子：

其还有一个解密方法ZipUtil.decompress()，调用它解密数据：

turbomail默认情况下是将密码(base64encode)以文件的形式存放在服务器上，此漏洞影响还是比较大的。

漏洞证明：

同上

修复方案：

混淆代码过滤数据你懂的

版权声明：转载请注明来源 applychen@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-09-05 00:08

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074431

漏洞标题：turbomail文件读取漏洞

相关厂商：turbomail.org

漏洞作者： applychen

提交时间：2014-08-31 00:07

修复时间：2014-09-05 00:08

公开时间：2014-09-05 00:08

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 applychen@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-074431

漏洞标题：turbomail文件读取漏洞

相关厂商：turbomail.org

漏洞作者： applychen

提交时间：2014-08-31 00:07

修复时间：2014-09-05 00:08

公开时间：2014-09-05 00:08

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-074431"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 applychen@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：