[公开漏洞]eYou邮件系统任意文件删除

来源：WooYun　浏览：1550次　时间：2014-06-29

eYou邮件系统任意文件删除相关厂商：北京亿中邮信息技术有限公司漏洞作者：secmap 提交时间：2014-03-31 14:25 公开时间：2014-06-29 14:25 漏洞类型：设计缺陷/逻辑错误危害等级：高自评Rank：15 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：无漏洞详情披露状态：

2014-03-31：细节已通知厂商并且等待厂商处理中
2014-03-31：厂商已经确认，细节仅向厂商公开
2014-04-03：细节向第三方安全合作伙伴开放
2014-04-10：细节向核心白帽子及相关领域专家公开
2014-04-20：细节向普通白帽子公开
2014-05-10：细节向实习白帽子公开
2014-06-29：细节向公众公开

简要描述：

eYou邮件系统存在任意文件删除漏洞

详细说明：

tips:同时存在任意文件上传，任意文件删除漏洞

#1 漏洞代码

/user/send_queue/del_addition.php

$ToRemove = post('ToRemove');//接收post参数ToRemove

$size     = @filesize($ToRemove);

if(is_array($_SESSION['tmpName']))

{

    $key = array_search($ToRemove,$_SESSION['tmpName']);

}else

{

    $key = null;

}



if(file_exists($ToRemove))

{

    $res = @unlink($ToRemove);//没有经过任何过滤便进入了危险函数unlink，造成任意文件删除

    if($res == 1)

    {   //文件被del了

        if($size != false)

        {

            $_SESSION['size'] -= $size;

            if($_SESSION['size'] < 0 )

            {

                $_SESSION['size'] = 0;

            }

        }

        unset($_SESSION['upload'][$key],$_SESSION['tmpName'][$key]);

    }

}

过程很简单：

$ToRemove = post('ToRemove');

//接收post参数后没有经过任何的过滤

$res = @unlink($ToRemove);

//没有经过任何过滤便进入了危险函数unlink，造成任意文件删除

#2 漏洞测试

鉴于任意文件删除危害挺大，可以让网站蹦掉，我们先上传一个文件，再将之删除

google intitle:亿邮通讯选取第一个连接测试

http://mail.bjsasc.com/user/send_queue/upload_addition.php