WinWebMail

一、WinWebMail程序安装为系统服务，程序一般是在admin权限下运行的，而服务程序emsvr.exe是在system权限下运行的，这样，我们就可以通过这个漏洞来提升权限了。假设我们得到了一个低权的WebShell，有修改权限，服务器安装有WinWebMail，我们只要能够修改其中的opusers.ini文件，就可以利用这个漏洞提升权限了，加用户、开端口就随你了。

在硬盘分区为NTFS格式下，WinWebMail会要求安装目录为everyone可写，这是因为它是Web服务式的邮件系统，需要通过ASP文件读写用户邮箱，也就是对应于某个用户名的文件夹，而普通的ASP程序解析权限很低，所以必须得让WinWebMail所在的目录拥有everyone可写权限，不然程序会无法正常读写这些用户文件夹的。在FAT32格式下就更不用说了，我们可以随意修改popusers.ini文件，从而溢出获得更高权限了。


最后再说说远程利用的方法。因为我们可以通过Web来注册用户，所以可以利用抓包软件来修改注册信息，从而间接修改ini文件，等到服务器重启的时候，就可以利用漏洞了。


该漏洞影响范围到3.7.3.1以前的版本

————————————————————————————————————

就是winwebmail邮件服务器系统，用户名和密码全部存在winwebmail的安装目录中popusers.ini文件里面！包括admin管理员用户！当然，密码是加密的！

我们要做的，就是在本地装一个相同版本的winwebmail，然后将本地加密过的已经密码代码，利用webshell替换掉服务器上的，这台mail服务器就到手了！（说白了还是因为WinWebMail会要求安装目录为everyone可写）

————————————————————————————————————

WinWebMail目录下的web必须设置everyone权限可读可写，不然邮件登陆不上去等等，所以在开始程序里找到winwebmail快捷方式下下来，看路径，访问路径\web传shell，访问shell后，默认权限是system，放远控进启动项，等待下次重启。没有删cmd组建的直接加用户。

比如c:\winwebmail\web，如果不能浏览换为d:\winwebmail\web\（一定要是web目录，本人多方测试c:\winwebmail一样无权浏览）

另外如果查不出路径请用注册表读取：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinWebMailServer\imagepath
 
二、7i24的web目录也是可写，权限为administrator。

注：7i24目录默认是可读可写，写进IISSAFE那个目录，访问http://lan3a.com/iissafe/shell.asp
 
三、装有MagicWinmail的服务器会在系统上开启8080端口，对外提供邮件服务。使用过它的人应该知道。这个MagicWinmail服务器支持php脚本解析。MagicWinmail是不可以解析asp脚本的，MagicWinmail这边是php的世界。

X:\MagicWinmail\server\webmail该目录默认为system权限

网管在装MagicWinmail的时候肯定是以system级别的身份装的。当然MagicWinmail就继承了system级别的限权，而我们的MagicWinmail却可以解析php脚本，想当然我们可爱的php脚本就是system级别的脚本了。这个MagicWinmail软件有点像咱国产Netbox的味道。
 
 
 

*