【实战】Cyrus IMAP Server IMAPMAGICPLUS预验证远程缓冲区溢出漏洞分析

最新推荐文章于 2020-11-23 09:19:19 发布
最新推荐文章于 2020-11-23 09:19:19 发布
阅读量1.3k 收藏
点赞数
分类专栏: 溢出研究 文章标签: server user login python signal 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freexploit/article/details/333704
版权
本文详细分析了Cyrus IMAP Server中IMAPMAGICPLUS模块的预验证远程缓冲区溢出漏洞。通过对服务器的登录流程和Python信号处理进行研究,揭示了该漏洞的成因和潜在风险。
摘要由CSDN通过智能技术生成

Cyrus IMAP Server IMAPMAGICPLUS预验证远程缓冲区溢出漏洞分析


创建时间:2004-12-06
文章属性:原创
文章提交: san (san_at_xfocus.org)

Cyrus IMAP Server IMAPMAGICPLUS预验证远程缓冲区溢出漏洞分析

Stefan Esser发现了Cyrus IMAP Server的四个漏洞,其中IMAPMAGICPLUS预验证远程缓冲区溢出漏洞最危险,也最容易利用。本小节主要介绍对此漏洞的分析。

1 定位漏洞

通过比较imapd.c源文件的Cyrus IMAP Server 2.2.8和2.2.9版本,可以很快发现问题代码出现在imapd_canon_user函数:

    if (config_getswitch(IMAPOPT_IMAPMAGICPLUS)) {
    /* make a working copy of the auth[z]id */
    memcpy(userbuf, user, ulen);
    userbuf[ulen] = '/0';
    user = userbuf;

userbuf是imapd_canon_user函数的一个局部变量,大小是MAX_MAILBOX_NAME+1,也就是491。user是imapd_canon_user函数带入的参数,并没有做长度检查,当IMAPOPT_IMAPMAGICPLUS选项打开的时候会执行memcpy操作,导致栈溢出,函数返回地址将被覆盖。在Cyrus IMAP Server 2.2.9版本的代码做了如下的修补:

    if (config_getswitch(IMAPOPT_IMAPMAGICPLUS)) {
    /* make a working copy of the auth[z]id */
    if (ulen > MAX_MAILBOX_NAME) {
        sasl_seterror(conn, 0, "buffer overflow while canonicalizing");
        return SASL_BUFOVER;
    }
    memcpy(userbuf, user, ulen);
    userbuf[ulen] = '/0';
    user = userbuf;

可以看到这是一个非常典型的栈溢出漏洞。

2 触发漏洞

虽然很容易就找到问题代码,但重要的是找出触发该漏洞的方法。首先得安装一个存在此漏洞的Cyrus IMAP Server,安装过程参见Cyrus的文档,本文不再详述。安装完以后在/etc/imapd.conf的最后加上如下行:

imapmagicplus: 1

这样就打开了IMAPMAGICPLUS选项,然后启动服务。user变量就是用户输入的用户名,那么尝试用python脚本登陆Cyrus IMAP Server:
最低0.47元/天 解锁文章
freexploit
关注
专栏目录
Cyrus IMAP Server的四个漏洞分析
03-03
Stefan Esser发现了Cyrus IMAP Server的四个漏洞,其中IMAPMAGICPLUS验证远程缓冲区溢出漏洞最危险,也最容易利用。本文主要介绍对定位漏洞和触发漏洞进行分析,给出了利用程序的实现方法。
centos漏洞系列(十一):LibCurl IMAP响应处理不当导致缓冲区溢出漏洞
gosenkle的专栏
11-03 2117
简介: IMAP的FETCH响应包含了指示返回数据长度的数据,当响应中显示返回数据长度为0字节时,libcurl也会为这段不存在的数据分配一个指针和一个为0的长度,并将这些内容传递给deliver-data函数,libcurl的deliver-data函数把0作为魔术数处理,对0字节的数据调用strlen()以获取长度。在堆上调用strlen()可能导致读取到未正确使用null截断的内容,导致li...
GNU Wget缓冲区溢出漏洞
岁月安然
04-15 745
简介GNU Wget是GNU计划开发的一套用于在网络上进行下载的自由软件,它支持通过HTTP、HTTPS以及FTP这三个最常见的TCP/IP协议下载。 GNU Wget 1.19.2之前的版本中存在缓冲区溢出漏洞远程攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。修复需将版本升级至1.19.2版本及更高wget http://ftp.gnu.org/gnu/wget/w...
如何安装Cyrus IMAP服务器
站长生活
11-09 1009
本文文件旨在提供在 Linux 系统中安装 Cyrus IMAP 服务器的一些帮助. 1. 介绍:   感谢 Bob Anderson (boba@iserv.net) 和 Jorge Paramo (jorge@iserv.net), 他们在我使用 linux 的历程中给了我许多帮助. 什么是 IMAP 以及为什么要使用它?   IMAP( 互联网邮件访问协议 ) 提供了一种访问远程服务器上的电
缓冲区溢出漏洞 ms04011
超哥的专栏
04-07 920
DSScan使用 扫描目标主机是否存在ms04011漏洞 getos使用 获取操作系统类型 > getos.exe 192.168.1.101 ------------------------------------------------------- THCsmbgetOS v0.1 - gets group, server and os via SMB b...
cyrus-imapd:Cyrus IMAP是电子邮件,联系人和日历服务器
04-01
这是Cyrus IMAP Server版本3.0.x。 2.3版之前的任何版本都不会进行进一步的开发工作。 版本2.3和2.4仍会收到安全更新,但是不太可能向后移植新功能或非安全错误修正。 2.5版仍然收到安全更新和非安全错误修正。 3.0...
dspam-retrain:cyrus IMAP 的 dspam 重新训练守护进程-开源
07-17
cyrus IMAP 服务器的自动 dspam 重新训练守护进程。 允许用户通过在隔离区/垃圾邮件/火腿文件夹之间移动邮件来重新训练 dspam。
docker-mailserver:使用Docker的全但简单的邮件服务器(SMTP,IMAP,LDAP,反垃圾邮件,防病毒等)
02-02
它支持多种验证机制,如 Cyrus SASL,可以与 LDAP 集成,实现用户认证。 2. **IMAP/POP3服务**:Dovecot提供了IMAP和POP3协议的支持,让用户能通过邮件客户端访问邮件。配合SSL/TLS加密,确保数据传输安全。 3. **...
MailEnable的IMAP服务UNSUBSCRIBE命令超长参数溢出
03-18 1138
看了下MailEnable的IMAP服务UNSUBSCRIBE命令超长参数溢出问题。有点麻烦,看了快两天才弄清楚,希望没看错。主要是用IDA反汇编,然后结合OD一起看的。先用perl写了个脚本测试,代码很简单: 代码:
远程缓冲区溢出漏洞利用程序
08-03
怎样写远程缓冲区溢出漏洞利用程序 ? 在此,我们假设有一个有漏洞的服务器程序(vulnerable.c). 然后写一个 exploit 来利用该漏洞,这样将能得到一个远程 shell。
不光彩又不得不为之的DD
热门推荐
谁伴我闯荡
09-30 6万+
SuperVoice 版本: 2.2 s/n: 220006165 SuperFax 版本: 6.0i s/n: 226104062 3DMark 2003 S/N:P424Y-EZ23Y-JJ2TK-FZAVK 3DMark 2001se Name:Jerry Hayes S/N:L5J4FCSD1NRKJPK1MLM6 3D Studio MAX R3.1 英文版S/N:110-1234567
centos漏洞系列(六):Vim输入验证漏洞
gosenkle的专栏
05-17 851
1、简介Vim是一款开源的、可配置的用于创建和更改任何类型文本的文本编辑器,它可使用在大多数UNIX系统和Apple OS X中。Vim patch 8.0.0056之前的版本中存在安全漏洞,该漏洞源于程序未能正确验证‘filetype’、‘syntax’和‘keymap’选项的值。攻击者可利用该漏洞执行任意代码。2、解决方案yum update vim-minimal...
Centos进行yum报FatalPythonerror:pycurl: libcurl link-time version is older than compile-time version
wangzhezhilu001的专栏
05-17 4944
在编译程序的过程中,由于相应环境的所需的动态库加载环境出了问题,我自己对动态库的环境进行了修改,在/etc/profile里的最后一行里加了这么几句话: export LD_LIBRARY_PATH=/usr/lib/jvm/java-1.7.0-openjdk-1.7.0.75-2.5.4.2.el7_0.x86_64/jre/lib/amd64:/usr/lib/jvm/java-1.7.0
一次利用imap漏洞的入侵
收集盒 Book box
09-06 7569
一次利用imap漏洞的入侵 作者 : geniusbb  email : geniusbb@hotmail.com 系统 : Linux 以下文章是菜鸟写给菜鸟交流的 ,高手就免看了,欢迎来信交换心得 。  [cracker@ns2:~/ ] nmap -s
关于阿里云ECS服务器提示高危漏洞问题的处理
t0m的专栏
03-30 2万+
购买阿里云服务器后, 一段时间, 会发钱提示高危漏洞, 而且很多, 有高危/中危/低危/严重等几个等级.当点击(一键修复或者生成修复命令时,开始让买买买了就);关于这个问题自己手动修复的话, 采用软件升级一般都可以解决.除了提示带kernel的高危漏洞其他的不需要重启实例即可修复. 有kernel的需要更新完成重启实例.修复过程如下:root登陆yum check-update 查看可升级的系统软...
常见服务/协议漏洞
a1b2c3是弱口令
08-22 5885
FTP 服务 FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等; 默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议) 攻击方式: 爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中f...
使用CURL不当,导致的CLOSE_WAIT.
记得别人忘了自己
01-14 3193
今天,系统日志里显示 Too many open files,于是使用lsof命令查看文件句柄数。发现是网络连接太多(CLOSE_WAIT).   linux平台下:使用下面命令 lsof -nl|grep CLOSE_WAIT|awk '{print $9,$10}'|wc -l 发现 CLOSE_WAIT|太多 展示片段如下: 192.168.10.32:52727->1...
FFmpeg之视频封装格式、流媒体协议、视频编解码协议和传输流格式、时间戳和时间基、视频像素数据
代码解释生活
11-23 6577
MP4: 解析工具:mp4info、mp4box、Elecard StreamEye; flv: 解析工具:flvparse、FlvAnalyzer、命令ffprobe -v trace -i xx.flv也可以解析,还能够将关键帧索引相关信息打印出来; M3U8: mp3: aac: 流媒体:常见的直播方式:RTMP、RTSP、HTTP+FLV、HLS、DASH; ...
Cyrus IMAP Server漏洞深度剖析:IMAPMAGICPLUS溢出攻击与防范
其中最为关键且易于利用的漏洞IMAPMAGICPLUS验证远程缓冲区溢出漏洞。这个漏洞源于imapd_canon_user函数中的一个缺陷,该函数在处理IMAPMAGICPLUS选项时,未对用户提供的auth[z]id字符串进行长度检查。 在Cyrus...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值