一、WinWebMail程序安装为系统服务,程序一般是在admin权限下运行的,而服务程序emsvr.exe是在system权限下运行的,这样,我们就可以通过这个漏洞来提升权限了。假设我们得到了一个低权的WebShell,有修改权限,服务器安装有WinWebMail,我们只要能够修改其中的opusers.ini文件,就可以利用这个漏洞提升权限了,加用户、开端口就随你了。 在硬盘分区为NTFS格式下,WinWebMail会要求安装目录为everyone可写,这是因为它是Web服务式的邮件系统,需要通过ASP文件读写用户邮箱,也就是对应于某个用户名的文件夹,而普通的ASP程序解析权限很低,所以必须得让WinWebMail所在的目录拥有everyone可写权限,不然程序会无法正常读写这些用户文件夹的。在FAT32格式下就更不用说了,我们可以随意修改popusers.ini文件,从而溢出获得更高权限了。 最后再说说远程利用的方法。因为我们可以通过Web来注册用户,所以可以利用抓包软件来修改注册信息,从而间接修改ini文件,等到服务器 重启的时候,就可以利用漏洞了。 该漏洞影响范围到3.7.3.1以前的版本 ———————————————————————————————————— 就是winwebmail邮件服务器系统,用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面!包括admin管理员用户!当然,密码是加密的! 我们要做的,就是在本地装一个相同版本的winwebmail,然后将本地加密过的已经密码代码,利用webshell替换掉服务器上的,这台mail服务器就到手了!(说白了还是因为WinWebMail会要求安装目录为everyone可写) ———————————————————————————————————— WinWebMail目录下的web必须设置everyone权限可读可写,不然邮件登陆不上去等等,所以在开始程序里找到winwebmail快捷方式下下来,看路径,访问 路径\web传shell,访问shell后,默认权限是system,放远控进启动项,等待下次重启。没有删cmd组建的直接加用户。 比如c:\winwebmail\web,如果不能浏览换为d:\winwebmail\web\(一定要是web目录,本人多方测试c:\winwebmail一样无权浏览) 另外如果查不出路径请用注册表读取: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinWebMail Server\imagepath
二、7i24的web目录也是可写,权限为administrator。 注: 7i24目录默认是可读可写,写进IISSAFE那个目录,访问 http://域名/iissafe/shell.asp
三、装有Magic Winmail的服务器会在系统上开启8080端口,对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。Magic Winmail是不可以解析asp脚本的,Magic Winmail这边是php的世界。 X:\Magic Winmail\server\webmail 该目录默认为system权限 网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权,而我们的Magic Winmail却可以解析php脚本,想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。
|