Symantec電子郵件系統分析(CVE-2017-6327)

前些天買了shodan的會員玩的特別開心，直到某一天看到了這個東西。這是什麼呢？

在百度一查原來是一個郵件系統的中間件叫電子郵件網關係統，說白了就是過濾郵件的，那麼他的重要性可想而知了，所有的郵件都從這台伺服器進出。

Seebug上搜索

基本上沒什麼漏洞不過17年有一個遠程命令執行 還有個任意文件讀取

不過許可權很低，只能看到網關裡面的賬戶下的，而且從官方試用的鏡像來看，官方給的賬戶是一個許可權極低的賬戶。

那麼只能從命令執行下手了。官方文檔說利用了兩個漏洞，先看第一個漏洞。

第一個漏洞會存在一個未授權訪問

通過向/brightmail/action1.do?method=method_name發出GET請求，如果method_name是公共方法，則可以執行LoginAction.method_name。

存在一個notificationLogin方法 該方法存在缺陷。

從官方的LoginAction類中可以看到notificationLogin方法。

他會接收notify參數的值賦值給

encryptedEmailAddress

BrightmailDecrypt

decrypt

emailAddress

emailAddress

UserTO

「**

<>

**」

username

session

session

然而官方給的例子是

解密失敗。。。 看來作者不想全部放出去啊。

那麼只能自己分析一波了

看解密的方法

他會切割傳進來的值前十二位為鹽 12位到末尾為加密內容 之後會用到PBEWithMD5AndDES加密演算法。而這個演算法是對稱加密的，那麼這麼看來就好辦了，只要用他的加密方法生成一個加密串能被他解密就可以了。而他的加密方法在使用10.6.1的任意文件讀取可以獲得

好的成功了!

然後需要做的是獲取一個

token

common.jsp

symantec.brightmail.key.TOKEN

而在symantec封裝的鏡像中存在一個db-restore腳本,該腳本存在調用

/usr/bin/du

於是可以愉快的反彈shell了

看成功反彈shell

*本文原創作者：野火研習社·北風飄然，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！