关于winwebmail漏洞的补丁有吗？

覆雨翻云

2007年3月的黑客防线上第一篇就是winwebmail的0DAY，官方也没有什么说明。
不知道怎么补？？

[ 本帖最后由 覆雨翻云 于 2007-3-7 12:50 编辑 ]

tomtang

文章在那里？

rayer

google了一把,证明楼主疑似标题党帮凶,哈,原文章链接: http://blog.donews.com/axis/archive/2006/12/13/1095521.aspx

昨天晚上check了一下winwebmail的验证方式


不管是smtp还是 pop3

pre-auth的传递参数比如USER xxxxxxx     PASS  xxxxxxxxxxxx
这种

基本上都是限定只能输入240字节

因为有一个 strncat(buf, string, 240);

loc_4523FB:
mov     eax, [esi]
or      ecx, 0FFFFFFFFh
lea     edx, [ebx+eax+33h]
xor     eax, eax
mov     edi, edx
repne scasb
not     ecx
dec     ecx
mov     eax, 0F0h
sub     eax, ecx
lea     ecx, [ebp+String]
push    eax             ; size_t
push    ecx             ; char *
push    edx             ; char *
call    _strncat
add     esp, 0Ch




注意这里
mov  eax, F0h

接下来

loc_452425:
mov     edx, [esi]
or      ecx, 0FFFFFFFFh
xor     eax, eax
lea     edx, [edx+ebx+33h]
mov     edi, edx
repne scasb
mov     edi, [esi]
not     ecx
dec     ecx
add     ecx, edi
cmp     byte ptr [ecx+ebx+32h], 0Ah
jz      short loc_452459




然后就判断回车\x0A

如果有回车，就继续执行，如果没有回车，就返回上层函数。



继续执行后

在这里执行了一个拷贝

lea     edi, [ebp+var_270]
add     esp, 0Ch
rep stosd
mov     ecx, [ebp+var_18]
lea     edx, [ebp+var_270]
push    ecx
push    offset aS_3     ; "%s"
push    edx             ; char *
stosb
call    _sprintf


不过由于前面被截断了，只能拷贝240 bytes过来，所以是覆盖不到ebp的




我只看了3.7.3.1和3.6.3.1 这两个版本，基本相同.


其他登陆后的命令就没看了，不怎么感兴趣了，如果也用的这里的函数来截断，那也是没有问题的。



所以，至少在处理输入这个地方是没有问题的了。



不能确定在之后的地方有没有问题，没继续跟下去了。


最后结论是，期待winwebmail 0day的兄弟们估计要失望了，至少pre-auth的漏洞，是比较难了，呵呵。

Trackback: http://tb.donews.net/TrackBack.aspx?PostId=1095521

dream96138

刚看标题还以为真有漏洞,就赶紧查了下,楼主真是吓人呀

baishi

这个漏洞可以远程利用.
还没解决办法.关注中
按作者的话是先需要抓包,然后修改字段domain为你的shellcode,然后使用nc提交过去,之后dos服务器,导致重启即可利用

rayer

做人要厚道啊,5楼最好能提供有力点的证明,要不然,呵呵,删回贴O

baishi

买本2007年3月的<黑客防线>看看就知道了
作者回答:http://www.hacker.com.cn/newbbs/ ... D=106081&page=1

baishi

这次披露的ＯＤＡＹ漏洞有二个：
１.不需要登陆下载任何人附件
２.对话框实现有一个可远程利用的字符串溢出

最新的３.７.３．１应该也有影响

[ 本帖最后由 baishi 于 2007-3-23 09:11 编辑 ]

baishi

准确定义下：
１.showatt.asp中没有引入检测用户状态,恶意攻击者可通过群举等方法下载任意附件
２.控制台程序对话框实现存在字符串溢出漏洞，本地攻击者可利用此漏洞提升自己的权限，从而以系统权限执行任意代码．

该漏洞已经经作者证实,会在下一个版本中修复：

谢谢你的提醒

1、下载附件的这个是因为有些邮件打开IE内锲程序的时候，有时候会丢失session，所以用cookies替换，这

个是有一些不当的地方，但事实上可被利用的余地非常小，因为文件名是从年开始一直到毫秒级的长串内容，

其中还包括一些随机数串，如果不知道这些文件名，其实这个漏洞是没有意义的。

2、经查是在控制台显示用户信息的代码中有一处内存溢出，这个漏洞只出现在控制台中，对邮件服务程序以

及webmail都没有影响，想利用这个漏洞必须要在服务器上有写的权限才可以，事实上如果黑客都可以在服务

器上任意写文件的话，那已经是攻破服务器了。


虽然如此，我们还是会在下一个版本中修复这些小问题，再次感谢您的及时提醒！

  感谢您对WinWebMail以及WebEasyMail软件的支持!

  祝: 万事如意!

                                                         马  坚

PS:黑客利用起来有一定难度，大家不要过于惊慌．
１.需要编写文件名机器人群举软件
２.需要得到本地权限

[ 本帖最后由 baishi 于 2007-3-23 15:22 编辑 ]

rayer

我也去问问老马,是不是真有这事.