新网企业邮箱服务可以shell影响(从任意用户域可拿新网服务器shell)

漏洞概要

缺陷编号:WooYun-2015-0121037

漏洞标题:新网企业邮箱服务可以shell影响(从任意用户域可拿新网服务器shell)

相关厂商:新网华通信息技术有限公司

漏洞作者:鸟云厂商

提交时间:2015-06-17 11:42

公开时间:2015-08-01 13:14

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-06-17: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开

简要描述:

我只想说,新网我们到底还能不能好好做朋友了?

详细说明:

新网企业邮箱服务http://www.xinnet.com/mail/mail.html该服务可以购买,一年也就几百块钱。大量企业在用,包括新网自己家由于已经有了一个管理员账号,所以不用再去购买了。我们直接测试http://webmail.xinnet.asia/(可以是任意一个新网企业邮箱)以管理员账户登录企业信息设置---企业信纸

添加新信纸---上传图片

抓包

filename修改为wooyun.jsp返回数据,得到路径

菜刀连接之

此处ip不恒定,貌似是负载还是啥的查看用户的邮件发送记录(随机新网企业邮箱用户)

查看企业邮箱管理员操作记录(随机新网企业邮箱管理员)

查看登录记录(随机新网企业邮箱用户)

查看用户修改密码行为,不断更新,并且可以看到旧密码

查看用户发送的邮件内容

cache文件夹会有每天的邮件缓存,可以分时、分域名查看用户邮件<img src="http://www.secevery.com/upload/201506/17021440e4a3d6842javascript:void(0)a3af2b2a4a94c5eef7978be.png" />可以修改不同企业邮箱登录口源码,可以改个代码什么的,密码往我这里发一份:)直接改企业邮箱主代码,任意用户登录后我都可以收到cookie。这里还是不演示为好= =

host配置,邮件服务器

网卡信息,在内网

找到了数据库配置文件

分库太多了,几千个。具体多少用户无法估算,mysql当前用户有些语句执行不了给个示例,随便个用户id都到80000级别了,并且能返回密码md5

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-1713:13

厂商回复:

[email protected],小新正在玩命确认及修复中

最新状态:

2015-06-18:漏洞已修复,[email protected]

评价

  1. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    新网已被轮

  2. 2010-01-01 00:00 无名 白帽子 | Rank:32 漏洞数:3)

    卧槽。。。

  3. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    感觉要出很多钱 哈哈

  4. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    新网:什么仇什么怨?都来轮我

  5. 2010-01-01 00:00 ’‘Nome 白帽子 | Rank:57 漏洞数:7)

    感觉。。。。。一次打雷。。。下个就很普通了。。。。。

  6. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    @浅蓝 哈哈 又看到你了 我昨天那个注入 还是不知道怎么办 ,也不知道算不算注入

  7. 2010-01-01 00:00 http://www.wooyun.org/corps/盛大网络 白帽子 | Rank:0 漏洞数:0)

    名字起的很屌

  8. 2010-01-01 00:00 浅蓝 白帽子 | Rank:131 漏洞数:20)

    @牛 小 帅 我用不了电脑,也没法给你看

  9. 2010-01-01 00:00 牛 小 帅 白帽子 | Rank:407 漏洞数:34)

    @浅蓝 好吧 呜呜 [email protected] 你帮我看看我的步骤

  10. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    吊炸天