TurboMail邮箱系统十多处sql注入打包(需要登录)

漏洞概要

缺陷编号:WooYun-2015-0128702

漏洞标题:TurboMail邮箱系统十多处sql注入打包(需要登录)

相关厂商:turbomail.org

漏洞作者:牛肉包子

提交时间:2015-07-23 17:23

公开时间:2015-10-26 17:25

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-23: 细节已通知厂商并且等待厂商处理中
2015-07-28: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

jsp审计第一发

详细说明:

这段时间学了一点jsp,然后就拿来使一使。这个邮箱的影响范围就不在重复叙述了,详情看以前大牛发的漏洞http://**.**.**.**/bugs/wooyun-2010-058159我们首先反编译class文件,可以得知AjaxMain是全局控制类,当type是不同值时,就会调用不同的类和对应方法,对请求数据进行处理。并且看一下访问控制,发现使用session获得一个get方式传入的sessionid进行身份确认,当用户登录后会创建一个表示用户身份的sessionid,每次请求时,都会携带该数据表示用户已经登录.--------------------------------------------------------------------------------------------------------------------------------------------------首先我们反编译turbomail.jar看到turbomail\bulletin\BulletinAjax.java在这个servlet里面

然后我们跟进 BulletinUtil这个对象里面的getTotal方法

可以看到这里的数据库操作没有用到占位符,也是就没有预编译,然后造成sql注入。其中bulletintype subject context domain publisher publisher 这些变量都可以注入。我选择domain演示

其中sessionid=4e64aa7H1_0 是登陆后系统分配的id

延时2S。这个邮件系统的mysql账号是root的,所以在windows本版本中可以写shell。

--------------------------------------------------------------------------------------------------------------------------------------------------看到turbomail\bulletin\BulletinAjax.java

然后跟进 getMsg(request, response);

然后跟进BulletinUtil.getBulletinItem方法

很明显id存在注入。

--------------------------------------------------------------------------------------------------------------------------------------------------看到turbomail\bulletin\BulletinAjax.java

这儿都存在注入BulletinUtil.updateBulletinReadNum(bi.id, bi.readnum);BulletinUtil.saveReadLog(bi.id, userinfo.getUseraccount_str());

注入9

注入10

注入11看到turbomail\bookmark\BookmarkTreeServlet.java

id可以注入

注入12

注入13

注入14

注入15

漏洞证明:

其中sessionid=4e64aa7H1_0 是登陆后系统分配的id

延时2S。这个邮件系统的mysql账号是root的,所以在windows本版本中可以写shell。

其余类似

修复方案:

预编译

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-2617:25

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2015-08-16:本漏洞已经在更新补丁修复了

2015-08-16:官网目前下载版本暂时不包含该补丁修正,需要额外进行修正

评价

  1. 2010-01-01 00:00 %270x5c 白帽子 | Rank:15 漏洞数:1)

    $$$$$

  2. 2010-01-01 00:00 贫道来自河北 白帽子 | Rank:95 漏洞数:12)

    要是不用登录就牛逼啦

  3. 2010-01-01 00:00 牛肉包子 白帽子 | Rank:190 漏洞数:17)

    @贫道来自河北 jsp太菜了。看得我蛋疼

  4. 2010-01-01 00:00 answer 白帽子 | Rank:370 漏洞数:31)

    溜溜

  5. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    牛肉包子、、、口水出来了

  6. 2010-01-01 00:00 康小泡 白帽子 | Rank:0 漏洞数:0)

    $$$$$