Symantec电子邮件系统分析(CVE-2017-6327)

前些天买了shodan的会员玩的特别开心,直到某一天看到了这个东西。这是什么呢?

在百度一查原来是一个邮件系统的中间件叫电子邮件网关系统,说白了就是过滤邮件的,那么他的重要性可想而知了,所有的邮件都从这台服务器进出。

Seebug上搜索

基本上没什么漏洞不过17年有一个远程命令执行 还有个任意文件读取

不过权限很低,只能看到网关里面的账户下的,而且从官方试用的镜像来看,官方给的账户是一个权限极低的账户。

那么只能从命令执行下手了。官方文档说利用了两个漏洞,先看第一个漏洞。

第一个漏洞会存在一个未授权访问

通过向/brightmail/action1.do?method=method_name发出GET请求,如果method_name是公共方法,则可以执行LoginAction.method_name。

存在一个notificationLogin方法 该方法存在缺陷。

从官方的LoginAction类中可以看到notificationLogin方法。

他会接收notify参数的值赋值给encryptedEmailAddress,然后通过BrightmailDecrypt类下decrypt方法解密赋值给emailAddress,然后用emailAddress创建个UserTO对象,之后什么过滤“**<>**”创建username就不谈了,最后他会创建个session 这个session会有web管理界面的一些权限。

然而官方给的例子是

解密失败。。。 看来作者不想全部放出去啊。

那么只能自己分析一波了

看解密的方法

他会切割传进来的值前十二位为盐 12位到末尾为加密内容 之后会用到PBEWithMD5AndDES加密算法。而这个算法是对称加密的,那么这么看来就好办了,只要用他的加密方法生成一个加密串能被他解密就可以了。而他的加密方法在使用10.6.1的任意文件读取可以获得

好的成功了!

然后需要做的是获取一个token

common.jsp会或缺一个symantec.brightmail.key.TOKEN

而在symantec封装的镜像中存在一个db-restore脚本,该脚本存在调用/usr/bin/du命令注入。

于是可以愉快的反弹shell了

看成功反弹shell :)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-02-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python中文社区

使用python实现后台系统的JWT认证

專 欄 ❈ 茶客furu声,Python中文社区专栏作者 博客: http://www.jianshu.com/p/537b356d34c9 ❈ ...

8435
来自专栏数据和云

Oracle Data Redaction数据加密

Oracle Database 12c中加入了Data Redaction作为一个新的安全特性。(实际在11g的官方Database Advanced Secu...

4075
来自专栏云端架构

【云端架构】常见电脑开放端口及含义

说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址...

6187
来自专栏Android 开发者

[译] 在 Android P 中使用默认的 TLS 来保护你的用户

2503
来自专栏FreeBuf

手把手教你解密MacOS平台下的Chrome密码

虽然现在网上有很多开源的软件可以帮助你解密那些存储在GoogleChrome浏览器中的密码,但是这些软件几乎只支持在Windows操作系统下使用。 那么对于我们...

23110
来自专栏安富莱嵌入式技术分享

【RL-TCPnet网络教程】第33章 SMTP简单邮件传输协议基础知识

本章节为大家讲解SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)的基础知识,方便后面章节的实战操作。

1982
来自专栏雪胖纸的玩蛇日常

django 发送手机验证码

8873
来自专栏WindCoder

JSON Web Token(JWT)教程:一个基于Laravel和AngularJS的例子

这是一篇介绍JSON Web Token(JWT)的文章,虽然可能用到的例子和Laravel和AngularJS有关,但知道了原理便能写出适用于自己的。同时,由...

4281
来自专栏编程一生

一个请求过来都经过了什么

1764
来自专栏FreeBuf

如何在macOS上监听单个应用HTTPS流量

写在前面的话 如果你准备对网络协议进行逆向分析或进行任何与网络安全有关的活动时,可能是为了了解协议运行机制,也有可能是为了查找敏感信息,你或多或少都需要收集一定...

2645

扫码关注云+社区

领取腾讯云代金券