亿邮电子邮件系统远程命令执行漏洞分析与复现

亿邮电子邮件系统远程命令执行漏洞分析与复现

漏洞分析

首先 代码全局搜索moni_detail
找到了一个em_controller_action_app_mailadmin_moni_detail.class.php 的文件。然后再进去搜索gragh

根据这个函数

  1.     /**         
  2.      * 生成图像 
  3.      *          
  4.      * @return void
  5.      */
  6.     protected function _get_graph()
  7.     {   
  8.         $cluster = $this->__request->get_request('cluster', '');
  9.         $hostname = $this->__request->get_request('hostname', 'elephant110');
  10.         $type = $this->__request->get_request('type', 'cpu_report'); 
  12.         $date_type = $this->__request->get_request('date_type', 'hour');
  13.         $date_value = $this->__request->get_request('date_value', '1');
  14.         $columns = $this->__request->get_request('columns', 2);
  15.         $size = $this->__request->get_request('size', 'small');
  17.         require_once PATH_EYOUM_LIB . 'em_monitor.class.php';
  18.         $graph = new em_monitor;
  20.         $condition = em_condition::factory('monitor', 'report:get_report');
  21.         $condition->set_clustername($cluster);
  22.         $condition->set_hostname($hostname);
  24.         // 默认图形
  25.         switch ($type) {
  26.             case 'cpu_report':
  27.             case 'mem_report':
  28.             case 'network_report':
  29.             case 'packet_report':
  30.             case 'load_report':
  31.                 $condition->set_graph($type);
  32.                 break;
  34.             // metric 图形
  35.             default:
  36.                 $condition->set_graph('metric');
  37.                 $condition->set_metricname($type);
  38.                 break;
  39.         }
  41.         $size_array = $this->_get_recover_size($type);
  42.         $graph->set_graph_size($size_array);
  44.         $condition->set_size($size);
  45.         $start = em_monitor::get_start_timestamp($date_value . ' ' . $date_type);
  46.         $condition->set_start($start);
  47.         $condition->set_end('now');
  49.         $graph->set_graph($condition);
  50.         $graph->set_debug(true);
  51.         $graph->draw();
  52.     }

最终执行到了draw这个函数。跟进draw函数

  1. /**
  2.      * 画出 rrdtool 图形 
  3.      * 
  4.      * @return void
  5.      * @throws em_monitor_exception
  6.      */
  7.     public function draw()
  8.     {
  9.         $command = implode(' ', $this->__graph);
  11.         /*Make sure the image is not cached*/
  12.         header ("Expires: Mon, 26 Jul 1997 05:00:00 GMT");   // Date in the past
  13.         header ("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); // always modified
  14.         header ("Cache-Control: no-cache, must-revalidate");   // HTTP/1.1
  15.         header ("Pragma: no-cache");                     // HTTP/1.0
  17.         if ($this->__debug) {
  18.             $fp = fopen('/tmp/monitor.log', 'w');
  19.             fwrite($fp, $command . "\n");
  20.             fclose($fp);
  21.         }
  23.         header ("Content-type: image/gif");
  24.         passthru($command);
  25.     }

这里通过了passthru 接受参数来生成的。然后导致了一个命令执行的问题

0x02 漏洞复现

0x03 文章来源

文章转载于print('')博客,原文链接为:https://www.o2oxy.cn/3404.html

  • 发表于 2021-04-11 18:23:30
  • 阅读 ( 8707 )
  • 分类:漏洞分析

0 条评论

带头大哥
带头大哥

50 篇文章

带头大哥

如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!

站长统计