佑友(mailgard webmail)邮件服务器getshell 0day,附python exp

漏洞概要

缺陷编号:WooYun-2015-097649

漏洞标题:佑友(mailgard webmail)邮件服务器getshell 0day,附python exp

相关厂商:佑友

漏洞作者:f4ckbaidu

提交时间:2015-02-19 18:14

公开时间:2015-05-29 17:18

漏洞类型:unknow

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-02-19: 细节已通知厂商并且等待厂商处理中
2015-02-28: 厂商已经确认,细节仅向厂商公开
2015-03-03: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

过年前来一发,能得个闪电吗?

详细说明:

一、任意文件下载(需要登录)百度搜索intitle:"mailgard webmail",多家没有改admin密码的中招,默认密码admin/hicomadminhttp://**.**.**.**/src/read_file.php?signature=../../../../../../../etc/passwdhttp://**.**.**.**/src/read_file.php?uploadimage=../../../../../../../../../../etc/passwd根据此漏洞读取lighttpd error.log得到web更目录:/var/www/newmail/

二、系统命令执行导致getshell下载文件进行代码审计,找到一个命令执行漏洞/var/www/newmail/src/ajaxserver.php第1789行开始:

程序员sb,直接毁了magic_quotes_gpc和addslashes的防护(系统自身带了全局过滤,代码抄袭discuz的),导致getshell:EXP如下,得到webshell,http://**.**.**.**/shell.php,密码123

自动化exp如下:用法python fuck.py http://**.**.**.**:80/ 帐号 密码

漏洞证明:

百度搜索intitle:"mailgardwebmail",多家没有改admin密码的中招,默认密码admin/hicomadmin

修复方案:

i don't know

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-02-2817:16

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 f4ckbaidu 白帽子 | Rank:215 漏洞数:21)

    exp写的有点问题,URL一定要带端口号才行

  2. 2010-01-01 00:00 sql小神 白帽子 | Rank:17 漏洞数:2)

    @f4ckbaidu 目测你要火啊