Author : tombkeeper
Email : tombkeeper@whitecell.org
HomePage: http://www.whitecell.org


发布日期：2002-01-20
漏洞类别：Windows，远程WEB接口，取得本地系统权限


描述：

MetaInfo Sendmail 是运行在Windows NT/2000 平台上的邮件服务器，由CheckPoint公司出品。发现在它的WEB 管理接口存在安全问题，可被入侵者利用以本地系统权限执行任意命令。


详细：

MetaInfo Sendmail的 WEB 管理接口在5000/TCP，可以通过浏览器对其进行管理。jeff（jeff@wiretrip.net）曾向 BUGTRAQ 报告过，MetaInfo Sendmail 2.5 Build 2639以前的版本 WEB 管理接口没有过滤“..”等字符，可以被利用下载重要数据，执行任何命令：
http://mail.server.com:5000/../../winnt/repair/sam._
http://mail.server.com:5000/../../winnt/system32/net.exe?user%20joe%20/delete
这些问题在VER 2.5 Build 2640 以后得到了解决。

我在测试中发现管理是通过向config.cmd提交实现的，config.cmd的内容是：

@..\config.exe

在VER 2.5 Build 2639及以前的版本中可以通过提交一些特殊字符来执行命令，并把执行结果返回到浏览器中：
http://mail.server.com:5000/config.cmd?&dir
http://mail.server.com:5000/config.cmd?||dir
http://mail.server.com:5000/config.cmd?&echo%20test%20>%20\test.txt
在VER 2.5 Build 2640中过滤了包括“&、>”等在内的一些控制字符，如果提交了这些字符会返回404错误。但并没有过滤“|”，仍然可以通过这样的格式：
http://mail.server.com:5000/config.cmd?||dir
来执行命令，并返回执行结果。

因为这个管理接口是作为服务“MetaWebS”运行在本地系统帐号下，所以利用此漏洞得到的是本地系统权限。而且对此端口的访问是没有日志的。


解决方案：

1、禁用MetaWebS服务。
2、联系厂商获得支持。

如果一定要使用MetaWebS服务，可以创建一个帐号，去除此帐号对所有系统资源的访问权，除了MetaInfo Sendmail 相关的文件，然后以此帐号运行MetaWebS。即使如此也还是要极为小心的使用。最好使用某些方法仅允许本机访问5000/TCP，例如防火墙、网卡的TCP/IP筛选或IPSec等。

还可以自定义过滤字符：在VER 2.5 Build 2640的中被过滤的字符储存在MetaWebS.exe的2E1708h-2E170Ah，默认是“&<>”这三个，可以把“<”改成“|”。如果想保留原来的并增加一些字符，那还需要修改偏移量，这里就不详细介绍了，可以参考有关资料。此方法请谨慎使用。

主目录 分目录