多个PHP mail函数引发的命令执行漏洞分析

阅读： 8

近期，国外安全研究人 @dawid_golunski 曝光了多个使用php mail函数引发命令执行的漏洞。众多使用php内置mail函数的第三方邮件库，如phpmailer，SwiftMailer 纷纷中招，

主要有：

CVE-2016-10033 CVE-2016-10045 CVE-2016-10074

文章目录

漏洞成因

这些漏洞的成因和之前曝光的 Roundcube命令执行漏洞如出一辙，都是由于其在调用php内置mail函数时，没有恰当过滤第5个参数，可以被注入恶意参数，引发命令执行漏洞。

php的mail函数声明如下：

其参数含义分别表示如下：

to，指定邮件接收者，即接收人 subject，邮件的标题 message，邮件的正文内容 additional_headers，指定邮件发送时其他的额外头部，如发送者From，抄送CC，隐藏抄送BCC additional_parameters，指定传递给发送程序sendmail的额外参数。

在linux系统上，mail函数在底层实现中，默认调用Linux的 sendmail 程序发送邮件。在sendmail程序的参数中，有一个 -X 选项，用于记录所有的邮件进出流量至log文件中。

> -X logfile > Logalltrafficin and outofmailersin theindicatedlog > file. This shouldonlybeusedas a lastresortfor debugging > mailerbugs. Itwilllog a lotofdataveryquickly.

通过 -X 指定log文件记录邮件流量，实际可以达到写文件的效果。

例如，如下php代码

$to = 'Alice@example.com'; $subject = 'Hello Alice!'; $message = ''; $headers = "CC: somebodyelse@example.com"; $options = '-OQueueDirectory=/tmp -X/var/www/html/rce.php'; mail($to, $subject, $message, $headers, $options); ?>

执行后，查看log文件 /var/www/html/rce.php

17220 <<< To: Alice@example.com 17220 <<< Subject: HelloAlice! 17220 <<< X-PHP-Originating-Script: 0:test.php 17220 <<< CC: somebodyelse@example.com 17220 <<< 17220 <<< 17220 <<< [EOF]

发现被写入了包含在邮件标题或正文中的php代码，通过访问此log文件可以执行预先可控的php代码。