Anymacro 邮件系统最新版SQL注入漏洞

### 简要描述： 厂商一直回复说，不是最新版的，现在我就捅几枚最新版的菊花出来，谢谢。。。 ### 详细说明： 0x001 anymacro是国内较流行的一家企业级邮箱系统，客户主要为教育/政府机构。 今天所发现的SQL注入影响所有Anymacro所有邮件系统。 0x002 漏洞分析 本次属于黑盒测试。。。 漏洞点在网盘处，在下载里面的附件的时候，由于参数未进行判断，导致产生SQL注入漏洞 https://mail.xxx.com/down.php?netdisk=1 [<img src="https://images.seebug.org/upload/201405/19122359f1410cbad6068238030e8d9549d7656b.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19122359f1410cbad6068238030e8d9549d7656b.jpg) [<img src="https://images.seebug.org/upload/201405/191224331bb5375598c5b9cbce48d45d688e1eef.jpg" alt="_BGLO(7E%ZS[331T80NS)4K.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191224331bb5375598c5b9cbce48d45d688e1eef.jpg) [<img src="https://images.seebug.org/upload/201405/191225006984a55926c397fe75473df0a99f80d9.jpg" alt="SAE{KVY@YL]Q(H%`61V_I(5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191225006984a55926c397fe75473df0a99f80d9.jpg) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/19122359f1410cbad6068238030e8d9549d7656b.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19122359f1410cbad6068238030e8d9549d7656b.jpg) [<img src="https://images.seebug.org/upload/201405/191224331bb5375598c5b9cbce48d45d688e1eef.jpg" alt="_BGLO(7E%ZS[331T80NS)4K.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191224331bb5375598c5b9cbce48d45d688e1eef.jpg) [<img src="https://images.seebug.org/upload/201405/191225006984a55926c397fe75473df0a99f80d9.jpg" alt="SAE{KVY@YL]Q(H%`61V_I(5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191225006984a55926c397fe75473df0a99f80d9.jpg)