Winmail邮件服务器漏洞复现与分析

Winmail邮件服务器漏洞复现与分析 1. Winmail邮件服务器简介 Winmail是美国AMAX集团在中国的分公司——华美科技(苏州)有限公司研发的邮件服务系统软件，适用于中小型用户。 主要功能 ： 支持标准协议：SMTP、POP3、IMAP、Webmail、LDAP(公共地址簿) 多域支持 特色功能：邮件签核、邮件杀毒、邮件监控 支持IIS、Apache和PWS二次开发接口 2. 漏洞概述 影响版本 ：Winmail <= 6.1.0 漏洞类型 ： 文件上传命令执行漏洞 任意文件下载漏洞 目录遍历漏洞 3. 环境搭建 准备条件 ： Winmail 6.1版本安装文件 Windows Server 2008系统 安装步骤 ： 修改系统时间到2016年8月(必要时可断网) 运行安装文件完成系统安装 修改防火墙入站规则，添加6080端口 访问方式 ： 默认管理地址： http://[IP]:6080/ 默认邮箱账号： mail@xxlm.com 4. 漏洞复现 4.1 文件上传命令执行漏洞 利用条件 ：普通用户权限 利用步骤 ： 普通用户登录系统后上传文件到网盘 抓取上传数据包 修改关键参数： ftpfolder 参数默认值为 Lw%3D%3D (Base64编码的"/") 修改为 Ly4uLy4uL3dlYm1haWwvd3d3Lw== (Base64编码的"/../../webmail/www/") 上传PHP文件(如phpinfo.php)将直接保存到web目录 验证方式 ： 访问 http://[IP]:6080/phpinfo.php 确认webshell是否生效 4.2 任意文件下载漏洞 利用步骤 ： 上传文件后点击下载并抓取数据包 修改关键参数： filename 参数可控 修改为 Ly4uLy4uL2RhdGEv&filename=YWRtaW51c2VyLmNmZw== (Base64编码的"/../../data/"和"adminuser.cfg") 可下载管理员用户密码文件(密码为MD5加密) 管理员登录 ： 使用获取的凭据登录 http://[IP]:6080/admin/main.php 4.3 目录遍历漏洞 利用步骤 ： 在网络磁盘中选择文件夹并抓取数据包 修改 toftpfolder 参数： 修改为 Ly4uLy4uLw== (Base64编码的"/../../") 可实现目录跳转查看上级目录内容 5. 漏洞原理分析 根本原因 ： 网络磁盘页面上传文件目录和参数可控 服务端未对输入内容进行安全检查 可通过 ../ 实现目录跳转 安全缺陷 ： 未对文件上传路径进行严格过滤 未对文件下载路径进行权限控制 未对目录访问进行适当限制 6. 漏洞危害评估 影响范围 ： 需要普通用户权限才能触发 可获取系统敏感文件 可上传webshell获取服务器控制权 限制条件 ： 需要已获得普通用户账号 部分功能需要交互操作 7. 安全建议 修复方案 ： 升级到最新版本 临时修复措施： 对上传文件路径进行严格过滤 禁用目录跳转功能 限制文件下载范围 防护措施 ： 加强用户权限管理 实施严格的输入验证 定期进行安全审计 8. 参考资源 Tide安全团队官网： http://www.TideSec.com 原始漏洞报告：[ FreeBuf文章链接 ]