首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
WinWebMail、7I24提权漏洞
来源:vfocus.net 作者:vfocus 发布时间:2010-11-29  

一、WinWebMail程序安装为系统服务,程序一般是在admin权限下运行的,而服务程序emsvr.exe是在system权限下运行的,这样,我们就可以通过这个漏洞来提升权限了。假设我们得到了一个低权的WebShell,有修改权限,服务器安装有WinWebMail,我们只要能够修改其中的opusers.ini文件,就可以利用这个漏洞提升权限了,加用户、开端口就随你了。
在硬盘分区为NTFS格式下,WinWebMail会要求安装目录为everyone可写,这是因为它是Web服务式的邮件系统,需要通过ASP文件读写用户邮箱,也就是对应于某个用户名的文件夹,而普通的ASP程序解析权限很低,所以必须得让WinWebMail所在的目录拥有everyone可写权限,不然程序会无法正常读写这些用户文件夹的。在FAT32格式下就更不用说了,我们可以随意修改popusers.ini文件,从而溢出获得更高权限了。
最后再说说远程利用的方法。因为我们可以通过Web来注册用户,所以可以利用抓包软件来修改注册信息,从而间接修改ini文件,等到服务器
重启的时候,就可以利用漏洞了。
该漏洞影响范围到3.7.3.1以前的版本
————————————————————————————————————
就是winwebmail邮件服务器系统,用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面!包括admin管理员用户!当然,密码是加密的!
我们要做的,就是在本地装一个相同版本的winwebmail,然后将本地加密过的已经密码代码,利用webshell替换掉服务器上的,这台mail服务器就到手了!(说白了还是因为WinWebMail会要求安装目录为everyone可写)
————————————————————————————————————
WinWebMail目录下的web必须设置everyone权限可读可写,不然邮件登陆不上去等等,所以在开始程序里找到winwebmail快捷方式下下来,看路径,访问 路径\web传shell,访问shell后,默认权限是system,放远控进启动项,等待下次重启。没有删cmd组建的直接加用户。
比如c:\winwebmail\web,如果不能浏览换为d:\winwebmail\web\(一定要是web目录,本人多方测试c:\winwebmail一样无权浏览)
另外如果查不出路径请用注册表读取:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinWebMail Server\imagepath

二、7i24的web目录也是可写,权限为administrator。
注: 7i24目录默认是可读可写,写进IISSAFE那个目录,访问 http://域名/iissafe/shell.asp

三、装有Magic Winmail的服务器会在系统上开启8080端口,对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。Magic Winmail是不可以解析asp脚本的,Magic Winmail这边是php的世界。
X:\Magic Winmail\server\webmail    该目录默认为system权限
网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权,而我们的Magic Winmail却可以解析php脚本,想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
·Discuz3.2后台文件包含漏洞可后
  相关文章
·ecshop v2.72 前台写shell漏洞
·DEDECMS V5.6 继续get shell
·JCMS 2010 file download vulner
·SiteEngine 6.0 SQL注入漏洞0day
·SiteEngine 7.1 SQL注入漏洞0day
·Linux 系统文件描述符继承带来的
·由自定义QQ商业信纸 引发的邮件
·163K地方门户网站系统getshell 0
·帝国6.5后台拿SHELL
·PHP 5.x COM functions提权漏洞
·ewebeditor 5.2 列目录漏洞
·ecshop2.72 api.php 文件鸡肋注
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved