一、某些文件存在越权访问(无需登录即可访问)
经过WooYun-2015-97939和WooYun-2015-97649的审计得到以下结论:
没有包含根目录下global.php的文件,都可以直接访问不会跳转到登陆界面
于是查找可能存在越权访问的文件:
剔除掉无用的文件,留下几个有意思的php文件:
二、代码问题导致任意文件上传
瞅瞅/src/big_att_upload.php的代码,为了保护程序猿,咱打上马赛克哈
这也是醉了,不仅有越权访问,而且上传还木有任何后缀限制
直接上传把filename对应文件放到realPath($_POST['dir']).'/'下
POC:
访问http://mail.domain.com:889/vultest.php即可
还有2个上传点也是一样的问题,realpath支持../,你懂的,我就不发POC了
/var/www/newmail/src/upload.php:
/var/www/newmail/src/public_folders_upload.php:(realpath支持../,你懂的,我就不发POC了)
百度搜索intitle:"mailgard webmail",测试了一下基本上都中招
http://www.gtc.com.cn:889/vultest.php
http://mail.deluxworld.com:889/vultest.php
http://mail.refond.com:889/vultest.php
http://mail.boway.com:889/vultest.php
http://mail.szzt.com.cn:889/vultest.php
http://mail.szcwh.com:889/vultest.php