漏洞信息
| 漏洞ID: 1137384 | 漏洞类型: 路径遍历漏洞 |
| 发布时间: 2017-06-28 | 更新时间: 2020-06-12 |
| CVE编号: CVE-2017-9846 | CNNVD-ID: CNNVD-201706-1054 |
| 漏洞平台: N/A | CVSS评分: 6.5 |
漏洞详情
网络磁盘页面上传文件目录和参数可控,且服务端没有对输入的内容进行安全检查,造成可以通过../进行目录跳转,将文件上传到web目录,从而获取webshell.
攻击成本:低
危害程度:高
是否登陆:需要
影响范围:Version <= 6.1.0
漏洞重现
使用Winmail 6.1版本进行演示
安装文件下载
链接:https://resource.if010.com/winmail_6_1_0/winmail_6.1.0720.zip
使用Windows系统
1、修改系统时间到2016年八月份之前,必要时可以断网
2、运行安装文件安装系统
3、修改防火墙入栈规则添加6080端口,或者暴力一点关闭防火墙
*叮咚: 如果没有修改时间就安装的话服务可能会起不来,所以建议修改一哈~
访问 http://45.32.28.9:6080/ 登录系统 账号
建立一个新的 mingo@if010.com 邮箱
漏洞利用
文件上传命令执行漏洞
普通用户登录系统后上传文件保存到网盘,并抓取数据包
上传phpinfo.php文件 默认系统会将文件保存在 安装目录 /server/netstore/mingo/ 目录下面 其中mingo文件用户名,但是数据包中ftpfolder=Lw%3D%3D 代表目录,采用base64加密,默认是/,可以修改ftpfolder值为Ly4uLy4uL3dlYm1haWwvd3d3Lw== 代表 /../../webmail/www/直接将文件上传到web目录
访问http://45.32.28.9:6080/phpinfo.php 即可获取webshell
任意文件下载漏洞
上传文件后点击下载文件
其中目录和文件名可控
修改filename参数跳转到data/adminuser.cfg,即base64加密ftpfolder=Ly4uLy4uL2RhdGEv&filename=YWRtaW51c2VyLmNmZw==,可下载管理员用户密码,密码md5加密!
获得管理员的用户名和密码解密之后,访问http://45.32.28.9:6080/admin/main.php登录
目录遍历
打开网络磁盘并创建一个文件夹并进入,点击返回/目录并抓取数据包,其中ftpfolder代表目录位置 该字段可控增加/../../可向上跳目录
修改为/../../即base64加密Ly4uLy4uLw==
修复方案
虽然该漏洞需要普通用户权限登录后才能触发,总体来说漏洞危害有限,但还是建议尽快升级到最新版本.
