AD

Roundcube1.2.2_RCE

利用前提:
Roundcube 使用 PHP 的 mail 来发送邮件,而不通过其他 SMTP Server
PHP 的 mail 使用 sendmail 来发送邮件(默认)
PHP 的 safe_mode 是关闭的(默认)
攻击者需要知道 Web 应用的绝对路径
攻击者可以登录到 Roundcube 并可以发送邮件

影响版本:
1.1.x < 1.1.7
1.2.x < 1.2.3

漏洞分析:
PHP的mail默认使用/usr/sbin/sendmail发送邮件(可在php.ini中设置),mail的第五个参数就是设置sendmail的额外参数。sendmail有一个-X参数,可以将邮件流量记录在指定文件中。

攻击的思路如下:
构造邮件内容为想要执行的代码
点击发送时抓包更改_from
sendmail将流量记录到 php 文件中

POC:
1、登录 Roundcube 并开始发送邮件,
2、点击发送后拦截数据包
3、将_from改成:example@example.com -OQueueDirectory=/tmp -X/path/rce.php,其中-X后的路径需根据具体服务器情况来设置,默认 Roundcube 根目录下temp/、logs/是可写的。然后将_subject改成我们想要执行的代码,这里是。请求有可能会超时,但是并不影响文件的写入。

评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

Ubiquiti_Networks_UniFi_Cloud_Key_authed_rce