当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074431

漏洞标题:turbomail文件读取漏洞

相关厂商:turbomail.org

漏洞作者: applychen

提交时间:2014-08-31 00:07

修复时间:2014-09-05 00:08

公开时间:2014-09-05 00:08

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-31: 细节已通知厂商并且等待厂商处理中
2014-09-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

登录情况下有效。

详细说明:

Web.xml中有个j2me的servlet

1.png


打开反编译出来的J2MEServlet.java,有以下的代码:

else if (ACTION_TYPE.equals("ACTION_VIEW_EMAIL_ATTACHS")) {
/* 348 */ String sessionId = dataInputStream.readUTF();
/* 349 */ if (sessionId == null) {
/* 350 */ return;
/* */ }
/* */
/* 353 */ String mbtype = dataInputStream.readUTF();
/* 354 */ String msgid = dataInputStream.readUTF();
/* 355 */ String realFileName = dataInputStream.readUTF();
/* 356 */ String fileName = dataInputStream.readUTF();
/* 357 */ dataOutputStream.writeUTF(MailAdmin.getAttachContent(sessionId,
/* 358 */ mbtype, msgid, realFileName, fileName));
/* */ }
/* */ }
/* */ catch (Exception e) {
/* 362 */ e.printStackTrace();
/* */ }
/* */
/* 367 */ byte[] bs1 = byte_stream.toByteArray();
/* */
/* 369 */ byte[] bs = ZipUtil.compress(bs1);
/* 370 */ response.setContentLength(bs.length);
/* 371 */ response.getOutputStream().write(bs);
/* */
/* 374 */ response.getOutputStream().flush();
/* */ }


程序使用readUTF()获取数据,然后在357那里调用了MailAdmin.getAttachContent()方法,在MailAdmin.java文件中找到此方法定义:

/*      */   public static String getAttachContent(String sessionid, String mbtype, String msgid, String realFileName, String fileName)
/* */ throws UnsupportedEncodingException
/* */ {
/* 421 */ MailSession ms = MailMain.s_sessionadmin.getSession(sessionid);
/* 422 */ UserInfo userinfo = ms.userinfo;
/* 423 */ msgid =
/* 424 */ Util.formatRequest(msgid, MailMain.s_os, SysConts.New_InCharSet);
/* 425 */ String prefix = ms.temp_path;
/* 426 */ String path = prefix + SysConts.FILE_SEPARATOR + userinfo.getUid() +
/* 427 */ "@" + userinfo.domain;
/* 428 */ path = path + SysConts.FILE_SEPARATOR +
/* 429 */ Util.GBToISO(mbtype, ms.encoding, MailMain.s_os);
/* 430 */ path = path + SysConts.FILE_SEPARATOR + msgid;
/* */
/* 432 */ String realfile = path + SysConts.FILE_SEPARATOR + realFileName;
/* 433 */ String strContent = "";
/* */
/* 435 */ if (fileName.endsWith(".txt")) {
/* 436 */ FileInputStream fis = null;
/* 437 */ byte[] bs = null;
/* */ try
/* */ {
/* 440 */ File f = new File(realfile);
/* 441 */ if (f.exists()) {
/* 442 */ int iLen = (int)f.length();
/* 443 */ bs = new byte[iLen];
/* 444 */ fis = new FileInputStream(realfile);
/* 445 */ fis.read(bs);
/* 446 */ fis.close();
/* */ }
/* */ } catch (Exception localException) {
/* */ }
/* */ try {
/* 451 */ if (fis != null)
/* 452 */ fis.close();
/* */ }
/* */ catch (Exception localException1) {
/* */ }
/* 456 */ if (bs != null)
/* 457 */ strContent = new String(bs, ServerConf.s_Default_Encoding);
/* 458 */ } else if (fileName.endsWith(".pdf")) {
/* 459 */ strContent = PDFUtil.getTextFromPDF(realfile);
/* 460 */ } else if (fileName.endsWith(".doc")) {
/* 461 */ strContent = POIUtil.getTextFromWord(realfile);
/* 462 */ } else if (fileName.endsWith(".ppt")) {
/* 463 */ strContent = POIUtil.getTextFromPowerPoint(realfile);
/* 464 */ } else if (fileName.endsWith(".xls")) {
/* 465 */ strContent = POIUtil.getTextFromExcel(realfile);
/* */ }
/* 467 */ strContent = Util.replace(strContent, "\r", "");
/* 468 */ return strContent;
/* */ }


最终的读取的文件路径realfile由以下的数据组成:

String realfile = path + SysConts.FILE_SEPARATOR + realFileName;


控制realFileName参数的值即可浏览文件,下面用writeUTF构造POST数据(注意需要登录之后的sessionid):

2.png


读取回来的数据在程序中使用ZipUtil.compress()加密,大概是这个样子:

3.png


其还有一个解密方法ZipUtil.decompress(),调用它解密数据:

4.png


turbomail默认情况下是将密码(base64encode)以文件的形式存放在服务器上,此漏洞影响还是比较大的。

漏洞证明:

同上

修复方案:

混淆代码过滤数据你懂的

版权声明:转载请注明来源 applychen@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-09-05 00:08

厂商回复:

最新状态:

2014-09-11:谢谢查出此漏洞,此漏洞需要系统帐号登录后才可以使用,危害一般,新版本会修复此漏洞


漏洞评价:

评论

  1. 2014-09-04 16:50 | applychen ( 普通白帽子 | Rank:163 漏洞数:16 | 白发现首)

    厂商你怎么了不要忽略啊……

  2. 2014-09-12 00:38 | applychen ( 普通白帽子 | Rank:163 漏洞数:16 | 白发现首)

    普通权限账号登录后一样可以利用,请复核一下吧

  3. 2014-12-29 15:14 | Wens0n ( 普通白帽子 | Rank:102 漏洞数:22 | 精华漏洞数:32 | WooYun认证√ 舞蹈系教授)

    @applychen 厂家一般都是忽略葫芦娃兄弟的