PHP imap_open函数任意命令执行漏洞

100人浏览 2024-11-25 09:02:18

漏洞描述

PHP 的imap_open函数中的漏洞可能允许经过身份验证的远程攻击者在目标系统上执行任意命令。该漏洞的存在是因为受影响的软件的imap_open函数在将邮箱名称传递给rsh或ssh命令之前不正确地过滤邮箱名称。如果启用了rsh和ssh功能并且rsh命令是ssh命令的符号链接，则攻击者可以通过向目标系统发送包含-oProxyCommand参数的恶意IMAP服务器名称来利用此漏洞。

漏洞危害

攻击者可利用该漏洞在目标系统上执行任意shell命令。

相关概念

imap_open 函数

PHP函数库中并不包含 imap_open() 函数，只有在 PHP 上安装 imap 扩展后才会激活imap_open() 函数。该函数的结构如下：

resource imap_open ( string $mailbox , string $username , string $password )

函数中的mailbox是执行命令参数的一部分，所以我们可以通过更改邮箱名来进行命令注入执行。

IMAP服务器类型及SSH连接

现在有两种基于Unix的IMAP服务器被人们广泛使用，一种为华盛顿大学开发的 imapd ，另一种为Cyrus开发的IMAP服务器。

①Cyrus开发的IMAP服务器会将用户邮件存储到内置数据库中，只有通过IMAP协议才能访问Cyrus。因此，当使用Cyrus时，已安装IMAP的Unix系统上的用户账户与IMAP账户之间并没有任何关联。

②华盛顿大学开发的 imapd 会将邮箱存储到文件中，而这些文件由Unix系统中邮件用户所有，如 /var/spool/mail ，因此 imapd 对应的用户账户以及访问权限与Unix服务器直接相关。如果邮件存放在我们具备访问权限的 spool 文件中，我们可以通过SSH方式登录系统，验证我们对这些文件的访问权限。

当能够使用SSH时，整个过程并不需要建立 IMAP 连接。也就是说，imap_open 函数首先会建立SSH连接，如果认证通过，则会在没有 IMAP 连接的情况下继续执行，这就是所谓的 IMAP 预认证模式。且在设置 SSH 连接时， mailbox 参数的值会以参数形式传递给SSH命令。