当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(82) 关注此漏洞

缺陷编号: WooYun-2014-57890

漏洞标题: Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限

相关厂商: 华美科技(苏州)有限公司

漏洞作者: 夕风号

提交时间: 2014-04-23 18:29

公开时间: 2014-07-23 18:20

漏洞类型: 非授权访问/权限绕过

危害等级: 高

自评Rank: 10

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 平行权限

19人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-23: 细节已通知厂商并且等待厂商处理中
2014-04-26: 厂商已经确认,细节仅向厂商公开
2014-04-29: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-06-20: 细节向核心白帽子及相关领域专家公开
2014-06-30: 细节向普通白帽子公开
2014-07-10: 细节向实习白帽子公开
2014-07-23: 细节向公众公开

简要描述:

顺便请各位同道中人帮忙检测Winmail默认用户postmaster的密码是否是固定不变的,官方说是随机生成,但我换不同主机测了几次都是不变的,如果我是对的,那么本漏洞的危险性无疑将会翻倍。

详细说明:

1.用普通帐户登陆邮箱

2.查看源代码,搜索“sessid”,得到下图所示内容:

y1.png



3.访问/admin/main.php?sessid=d9825c663359a9545f56c08cb864fa4b即可进入后台

11.png

漏洞证明:

问题出在/admin/main.php

code 区域
if ($allow_webadmin == false)
die('You must provide web administration service');

if (!preg_match('/^[0-9a-z]{32}$/i', $sessid))
die('the system occurs error, please login it');

define('WM_ADMIN_LOGINED', true);

$retid = (double)microtime()*100000000;

$sesshandle = New Session();
$sesshandle->temp_folder = $temporary_directory;
$sesshandle->sessid = $sessid;
$sesshandle->timeout = $session_timeout;
$sesshandle->enable_cookies = true;
$sesshandle->sesstype = SESSION_ADMIN;
$session_value = $sesshandle->Load();
if ($session_value === false){
Header('Location: index.php?err=sess_load&retid='.$retid);
exit;
}
if ($session_value['auth']) {
$nowstamp = time();
$start = ($session_value['start'] == '') ? $nowstamp : $session_value['start'];

if (intval($nowstamp - $start) > $session_timeout) {
Header('Location: badlogin.php?sessid='.$sessid.'&err=100&retid='.$retid);

exit;
}

$session_value['start'] = $nowstamp;
$sesshandle->Save($session_value);
}
else{
Header('Location: badlogin.php?sessid='.$sessid.'&retid='.$retid);
exit;
}

修复方案:

检测

版权声明:转载请注明来源 夕风号@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-04-26 10:54

厂商回复:

CNVD确认所述案例情况,在这几天的实际测试中,并未能有效针对.网站进行检测,通过本地实例确认漏洞情况。由于没有大规模有效验证,暂无法通过CNCERT渠道下发给分中心去处置案例,仅由CNVD直接联系软件生产厂商处置。不过还得要肯定白帽子发现漏洞的含金量。@疯狗

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-04-21 18:30 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    postmaster密码问题我可以帮你测试啊,特意装了个测试环境。

  2. 2014-04-21 18:40 | xsser 认证白帽子 ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
    0

    这么屌?

  3. 2014-04-21 18:42 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    牛X

  4. 2014-04-21 18:46 | ylaxfcy ( 普通白帽子 | Rank:178 漏洞数:28 | 技术无黑白,但是人有)
    0

    牛x啊

  5. 2014-04-21 19:13 | 夕风号 ( 普通白帽子 | Rank:229 漏洞数:35 )
    0

    @疯狗 感谢支援!

  6. 2014-04-21 21:29 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)
    0

    NB!

  7. 2014-04-21 22:14 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)
    0

    洞主是黑客 我一眼就看出来了

  8. 2014-04-22 00:27 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)
    0

    洞主你要火

  9. 2014-04-22 09:03 | Neeke ( 普通白帽子 | Rank:110 漏洞数:26 | 额滴歌神呀!)
    0

    这个屌啊

  10. 2014-04-22 16:29 | cncert国家互联网应急中心(乌云厂商)
    0

    @疯狗 Postmaster密码你能破?要能破的话这个就能批量了。刚才社工了一下,没问出来。

  11. 2014-04-22 16:38 | cncert国家互联网应急中心(乌云厂商)
    0

    @疯狗 经过多次测试,postmaster的密码是相同的。

  12. 2014-04-22 16:39 | cncert国家互联网应急中心(乌云厂商)
    0

    @夕风号 本地已经复现,目前正在找案例,商请协助提供已经掌握的winmail检测特征,以便CNCERT更好地做好全网应急。

  13. 2014-04-23 09:36 | kelz ( 路人 | Rank:30 漏洞数:7 | test)
    0

    c9442bd07f41273c8972c5543ef6aafe 能解就好!!!

  14. 2014-04-23 11:52 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    @cncert国家互联网应急中心 cert的检测结果可以给乌云以及提交漏洞的白帽子共享一份不,数量就行 :)

  15. 2014-04-26 22:13 | Black Angel ( 普通白帽子 | Rank:165 漏洞数:36 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)
    0

    winmail不行就用exchange

  16. 2014-04-27 23:52 | kelz ( 路人 | Rank:30 漏洞数:7 | test)
    0

    winmail不行就用exchange 都不对..

  17. 2014-04-28 09:33 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1636 漏洞数:207 | 没有最专业的农民,只有更努力地耕耘..........)
    0

    所有版本通杀么?

  18. 2014-08-31 10:32 | Allmylife ( 实习白帽子 | Rank:69 漏洞数:18 | Pay all my life on security!)
    0

    @疯狗 默认密码是多少,能告诉一下吗,网上没找到

登录后才能发表评论,请先 登录