Letter Dispair

Se nos proporciona la siguiente página web:

Muestra un listado de directorio. Si vamos a /mailer.php veremos esta página para enviar correos:

El archivo mailer.zip contiene el código fuente de mailer.php. Es bastante largo como para ponerlo aquí.

La clave está en que utiliza PHPMailer, que es vulnerable a CVE-2016-10033 y CVE-2016-10045. De hecho, existen exploits públicos como el que aparece en www.exploit-db.com.

Básicamente, el exploit dice que pongamos este payload como nuestro correo:

"attacker\" -oQ/tmp/ -X/var/www/html/phpcode.php  some "@email.com  

Y luego poner código PHP en la lista de correos. Por ejemplo, podemos tratar de cargar phpinfo():

Y de hecho, habremos creado un archivo llamado phpcode.php con phpinfo() dentro:

Es momento de conseguir ejecución remota de comandos:

Y ahora podemos buscar la flag y capturarla: