邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 关于winwebmail漏洞的补丁有吗? [打印本页]
作者: 覆雨翻云    时间: 2007-3-7 12:46
标题: 关于winwebmail漏洞的补丁有吗?
2007年3月的黑客防线上第一篇就是winwebmail的0DAY,官方也没有什么说明。
不知道怎么补??

[ 本帖最后由 覆雨翻云 于 2007-3-7 12:50 编辑 ]
作者: tomtang    时间: 2007-3-7 13:48
文章在那里?
作者: rayer    时间: 2007-3-7 15:51
google了一把,证明楼主疑似标题党帮凶,哈,原文章链接: http://blog.donews.com/axis/archive/2006/12/13/1095521.aspx

昨天晚上check了一下winwebmail的验证方式


不管是smtp还是 pop3

pre-auth的传递参数比如USER xxxxxxx     PASS  xxxxxxxxxxxx
这种

基本上都是限定只能输入240字节

因为有一个 strncat(buf, string, 240);

loc_4523FB:
mov     eax, [esi]
or      ecx, 0FFFFFFFFh
lea     edx, [ebx+eax+33h]
xor     eax, eax
mov     edi, edx
repne scasb
not     ecx
dec     ecx
mov     eax, 0F0h
sub     eax, ecx
lea     ecx, [ebp+String]
push    eax             ; size_t
push    ecx             ; char *
push    edx             ; char *
call    _strncat
add     esp, 0Ch




注意这里
mov  eax, F0h

接下来

loc_452425:
mov     edx, [esi]
or      ecx, 0FFFFFFFFh
xor     eax, eax
lea     edx, [edx+ebx+33h]
mov     edi, edx
repne scasb
mov     edi, [esi]
not     ecx
dec     ecx
add     ecx, edi
cmp     byte ptr [ecx+ebx+32h], 0Ah
jz      short loc_452459




然后就判断回车\x0A

如果有回车,就继续执行,如果没有回车,就返回上层函数。



继续执行后

在这里执行了一个拷贝

lea     edi, [ebp+var_270]
add     esp, 0Ch
rep stosd
mov     ecx, [ebp+var_18]
lea     edx, [ebp+var_270]
push    ecx
push    offset aS_3     ; "%s"
push    edx             ; char *
stosb
call    _sprintf


不过由于前面被截断了,只能拷贝240 bytes过来,所以是覆盖不到ebp的




我只看了3.7.3.1和3.6.3.1 这两个版本,基本相同.


其他登陆后的命令就没看了,不怎么感兴趣了,如果也用的这里的函数来截断,那也是没有问题的。



所以,至少在处理输入这个地方是没有问题的了。



不能确定在之后的地方有没有问题,没继续跟下去了。


最后结论是,期待winwebmail 0day的兄弟们估计要失望了,至少pre-auth的漏洞,是比较难了,呵呵。

Trackback: http://tb.donews.net/TrackBack.aspx?PostId=1095521
作者: dream96138    时间: 2007-3-7 16:10
刚看标题还以为真有漏洞,就赶紧查了下,楼主真是吓人呀
作者: baishi    时间: 2007-3-22 10:37
这个漏洞可以远程利用.
还没解决办法.关注中
按作者的话是先需要抓包,然后修改字段domain为你的shellcode,然后使用nc提交过去,之后dos服务器,导致重启即可利用
作者: rayer    时间: 2007-3-22 11:24
做人要厚道啊,5楼最好能提供有力点的证明,要不然,呵呵,删回贴O
作者: baishi    时间: 2007-3-22 15:03
买本2007年3月的<黑客防线>看看就知道了
作者回答:http://www.hacker.com.cn/newbbs/ ... D=106081&page=1
作者: baishi    时间: 2007-3-23 09:02
这次披露的ODAY漏洞有二个:
1.不需要登陆下载任何人附件
2.对话框实现有一个可远程利用的字符串溢出

最新的3.7.3.1应该也有影响

[ 本帖最后由 baishi 于 2007-3-23 09:11 编辑 ]
作者: baishi    时间: 2007-3-23 15:05
准确定义下:
1.showatt.asp中没有引入检测用户状态,恶意攻击者可通过群举等方法下载任意附件
2.控制台程序对话框实现存在字符串溢出漏洞,本地攻击者可利用此漏洞提升自己的权限,从而以系统权限执行任意代码.

该漏洞已经经作者证实,会在下一个版本中修复:
谢谢你的提醒

1、下载附件的这个是因为有些邮件打开IE内锲程序的时候,有时候会丢失session,所以用cookies替换,这

个是有一些不当的地方,但事实上可被利用的余地非常小,因为文件名是从年开始一直到毫秒级的长串内容,

其中还包括一些随机数串,如果不知道这些文件名,其实这个漏洞是没有意义的。

2、经查是在控制台显示用户信息的代码中有一处内存溢出,这个漏洞只出现在控制台中,对邮件服务程序以

及webmail都没有影响,想利用这个漏洞必须要在服务器上有写的权限才可以,事实上如果黑客都可以在服务

器上任意写文件的话,那已经是攻破服务器了。


虽然如此,我们还是会在下一个版本中修复这些小问题,再次感谢您的及时提醒!

  感谢您对WinWebMail以及WebEasyMail软件的支持!

  祝: 万事如意!

                                                         马  坚


PS:黑客利用起来有一定难度,大家不要过于惊慌.
1.需要编写文件名机器人群举软件
2.需要得到本地权限

[ 本帖最后由 baishi 于 2007-3-23 15:22 编辑 ]
作者: rayer    时间: 2007-3-23 16:41
我也去问问老马,是不是真有这事.
作者: rayer    时间: 2007-3-23 18:35
哈,及时提供老马关于这个问题的最新解决方案:
1、下载附件的问题,可以在 showatt.asp 的第一行加入
<!--#include file="passinc.asp" -->
来解决。


2、溢出的问题,可以通过给 popusers.ini 文件以 SYSTEM 和 Administrators 完全控制的权限,并设
置其他所有帐号对这个文件只有读取的权限来解决。


  感谢您对WinWebMail以及WebEasyMail软件的支持!

  祝: 万事如意!


                    马  坚
作者: dream96138    时间: 2007-3-24 14:14
作者: coolglay    时间: 2007-3-26 18:09
下载附件的问题,可以在 showatt.asp 的第一行加入
<!--#include file="passinc.asp" -->

加了后附件就不能下载了。。。晕迷啊!!
作者: rayer    时间: 2007-3-27 12:06
我已经改过了,附件能下
作者: coolglay    时间: 2007-3-27 13:05
原帖由 rayer 于 2007-3-27 12:06 发表
我已经改过了,附件能下


老大,哪改了?还是一样啊,第一行加<!--#include file="passinc.asp" -->

改过的文件在哪里下载?或者老大你贴一个上来吧!谢谢!!
作者: rayer    时间: 2007-3-27 15:23
标题: 你试试
作者: coolglay    时间: 2007-3-28 09:54
嗯,测试中。。。谢谢老大。
作者: coolglay    时间: 2007-3-28 11:00
老大,还是不行,用了你的文件照样不能下载。。。
作者: rayer    时间: 2007-3-28 13:03
晕,我这儿没问题,你还是先用原来的文件吧



欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.cn/bbs/) Powered by Discuz! X3.2