Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限 | WooYun-2014-57890

漏洞概要关注数(82) 关注此漏洞

缺陷编号： WooYun-2014-57890

漏洞标题： Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限

漏洞作者：夕风号

提交时间： 2014-04-23 18:29

公开时间： 2014-07-23 18:20

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank： 10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：平行权限

19人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-04-23：细节已通知厂商并且等待厂商处理中
2014-04-26：厂商已经确认，细节仅向厂商公开
2014-04-29：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-06-20：细节向核心白帽子及相关领域专家公开
2014-06-30：细节向普通白帽子公开
2014-07-10：细节向实习白帽子公开
2014-07-23：细节向公众公开

简要描述：

顺便请各位同道中人帮忙检测Winmail默认用户postmaster的密码是否是固定不变的，官方说是随机生成，但我换不同主机测了几次都是不变的，如果我是对的，那么本漏洞的危险性无疑将会翻倍。

详细说明：

1.用普通帐户登陆邮箱

2.查看源代码，搜索“sessid”，得到下图所示内容：

3.访问/admin/main.php?sessid=d9825c663359a9545f56c08cb864fa4b即可进入后台

漏洞证明：

问题出在/admin/main.php

code 区域

if ($allow_webadmin == false)


	die('You must provide web administration service');





if (!preg_match('/^[0-9a-z]{32}$/i', $sessid))


	die('the system occurs error, please login it');





define('WM_ADMIN_LOGINED', true);





$retid = (double)microtime()*100000000;





$sesshandle = New Session();


$sesshandle->temp_folder = $temporary_directory;


$sesshandle->sessid = $sessid;


$sesshandle->timeout = $session_timeout;


$sesshandle->enable_cookies = true;


$sesshandle->sesstype = SESSION_ADMIN;


$session_value = $sesshandle->Load();


if ($session_value === false){


	Header('Location: index.php?err=sess_load&retid='.$retid); 


	exit; 


}


if ($session_value['auth']) {


	$nowstamp = time();


	$start = ($session_value['start'] == '') ? $nowstamp : $session_value['start'];





	if (intval($nowstamp - $start) > $session_timeout) {


		Header('Location: badlogin.php?sessid='.$sessid.'&err=100&retid='.$retid);


 


		exit; 


	}


	


	$session_value['start'] = $nowstamp;


	$sesshandle->Save($session_value);


}


else{


	Header('Location: badlogin.php?sessid='.$sessid.'&retid='.$retid);


	exit;


}

修复方案：

检测

版权声明：转载请注明来源夕风号@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-04-26 10:54

厂商回复：

CNVD确认所述案例情况，在这几天的实际测试中，并未能有效针对.网站进行检测，通过本地实例确认漏洞情况。由于没有大规模有效验证，暂无法通过CNCERT渠道下发给分中心去处置案例，仅由CNVD直接联系软件生产厂商处置。不过还得要肯定白帽子发现漏洞的含金量。@疯狗

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-04-21 18:30 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)
0

postmaster密码问题我可以帮你测试啊，特意装了个测试环境。

1# 回复此人
2014-04-21 18:40 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)
0

这么屌？

2# 回复此人
2014-04-21 18:42 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
0

牛X

3# 回复此人
2014-04-21 18:46 | ylaxfcy ( 普通白帽子 | Rank:178 漏洞数:28 | 技术无黑白，但是人有)
0

牛x啊

4# 回复此人
2014-04-21 19:13 | 夕风号 ( 普通白帽子 | Rank:229 漏洞数:35 )
0

@疯狗感谢支援!

5# 回复此人
2014-04-21 21:29 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚，关注互联网安全)
0

NB!

6# 回复此人
2014-04-21 22:14 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)
0

洞主是黑客我一眼就看出来了

7# 回复此人
2014-04-22 00:27 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)
0

洞主你要火

8# 回复此人
2014-04-22 09:03 | Neeke ( 普通白帽子 | Rank:110 漏洞数:26 | 额滴歌神呀！)
0

这个屌啊

9# 回复此人
2014-04-22 16:29 | cncert国家互联网应急中心(乌云厂商)
0

@疯狗 Postmaster密码你能破？要能破的话这个就能批量了。刚才社工了一下，没问出来。

10# 回复此人
2014-04-22 16:38 | cncert国家互联网应急中心(乌云厂商)
0

@疯狗经过多次测试，postmaster的密码是相同的。

11# 回复此人
2014-04-22 16:39 | cncert国家互联网应急中心(乌云厂商)
0

@夕风号本地已经复现，目前正在找案例，商请协助提供已经掌握的winmail检测特征，以便CNCERT更好地做好全网应急。

12# 回复此人
2014-04-23 09:36 | kelz ( 路人 | Rank:30 漏洞数:7 | test)
0

c9442bd07f41273c8972c5543ef6aafe 能解就好!!!

13# 回复此人
2014-04-23 11:52 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)
0

@cncert国家互联网应急中心 cert的检测结果可以给乌云以及提交漏洞的白帽子共享一份不，数量就行：）

14# 回复此人
2014-04-26 22:13 | Black Angel ( 普通白帽子 | Rank:165 漏洞数:36 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)
0

winmail不行就用exchange

15# 回复此人
2014-04-27 23:52 | kelz ( 路人 | Rank:30 漏洞数:7 | test)
0

winmail不行就用exchange 都不对..

16# 回复此人
2014-04-28 09:33 | 专业种田 ( 核心白帽子 | Rank:1636 漏洞数:207 | 没有最专业的农民,只有更努力地耕耘..........)
0

所有版本通杀么？

17# 回复此人
2014-08-31 10:32 | Allmylife ( 实习白帽子 | Rank:69 漏洞数:18 | Pay all my life on security!)
0

@疯狗默认密码是多少，能告诉一下吗，网上没找到

18# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(82) 关注此漏洞

缺陷编号： WooYun-2014-57890

漏洞标题： Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限

相关厂商：华美科技（苏州）有限公司

漏洞作者：夕风号

提交时间： 2014-04-23 18:29

公开时间： 2014-07-23 18:20

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank： 10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：平行权限

19人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源夕风号@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(82) 关注此漏洞

缺陷编号： WooYun-2014-57890

漏洞标题： Winmail普通用户可直接进入后台取得域名管理、用户管理等所有权限

相关厂商： 华美科技（苏州）有限公司

漏洞作者： 夕风号

提交时间： 2014-04-23 18:29

公开时间： 2014-07-23 18:20

漏洞类型： 非授权访问/权限绕过

危害等级： 高

自评Rank： 10

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 平行权限

19人收藏 收藏 var token=""; var id="57890"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 夕风号@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(82) 关注此漏洞

相关厂商：华美科技（苏州）有限公司

漏洞作者：夕风号

漏洞类型：非授权访问/权限绕过

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：平行权限

19人收藏收藏
分享漏洞：

版权声明：转载请注明来源夕风号@乌云

漏洞评价(共0人评价):

登陆后才能进行评分