盈世Coremail的存储型XSS轻轻松松即可触发

2015-07-15T00:00:00
ID SSV:94746
Type seebug
Reporter Root
Modified 2015-07-15T00:00:00

Description

简要描述:

没有过滤

详细说明:

感觉Coremail邮箱应该在某个地方存在过滤缺陷,故查看了下 http://www.coremail.cn/ 的用户列表,恰好有个朋友她们用的就是该邮件系统的邮箱,故让其帮忙申请了个内部邮箱,一番测试果然该处存在xss漏洞,触发简单,容易中招。 漏洞地点在收件人昵称处,绕过方式:发信人设置昵称为a"/><style onload=alert(1)>或者a"/><img src=x onerror=alert(1)>等等类似昵称,给Coremail邮箱用户发信,Coremail用户收到信件后打开 漏洞未触发。此时如果Coremail用户给发件人回复信件如图:

<img src="https://images.seebug.org/upload/201507/150953520de1b56c433a46b7a26082340c913412.jpg" alt="coremail1111111QQ图片20150715094857.jpg" width="600" onerror="javascript:errimg(this);">

点击发送信件,则会触发xss漏洞,如题:

<img src="https://images.seebug.org/upload/201507/15095627458a7922f77e07ee12b36bb18b267e1c.jpg" alt="coremail22222222QQ图片20150715094739.jpg" width="600" onerror="javascript:errimg(this);">

鉴于发件人昵称处一般存在长度限制,故写个群发工具,就可以避免该限制,实现大批量获取Coremail邮箱用户cookies信息。 工具丑,简单附个图:

<img src="https://images.seebug.org/upload/201507/1510122751ff30dfeb2cb8d8072eee928845cf00.png" alt="core44444QQ图片20150715100932.png" width="600" onerror="javascript:errimg(this);">

综上,漏洞触发简单,无浏览器限制, 危害大。

漏洞证明:

感觉Coremail邮箱应该在某个地方存在过滤缺陷,故查看了下http://www.coremail.cn/ 的用户列表,恰好有个朋友她们用的就是该邮件系统的邮箱,故让其帮忙申请了个内部邮箱,一番测试果然该处存在xss漏洞,触发简单,容易中招。 漏洞地点在收件人昵称处,绕过方式:发信人设置昵称为a"/&gt;&lt;style onload=alert(1)&gt;或者a"/&gt;&lt;img src=x onerror=alert(1)&gt;等等类似昵称,给Coremail邮箱用户发信,Coremail用户收到信件后打开 漏洞未触发。此时如果Coremail用户给发件人回复信件如图:

<img src="https://images.seebug.org/upload/201507/150953520de1b56c433a46b7a26082340c913412.jpg" alt="coremail1111111QQ图片20150715094857.jpg" width="600" onerror="javascript:errimg(this);">

点击发送信件,则会触发xss漏洞,如题:

<img src="https://images.seebug.org/upload/201507/15095627458a7922f77e07ee12b36bb18b267e1c.jpg" alt="coremail22222222QQ图片20150715094739.jpg" width="600" onerror="javascript:errimg(this);">

鉴于发件人昵称处一般存在长度限制,故写个群发工具,就可以避免该限制,实现大批量获取Coremail邮箱用户cookies信息。 工具丑,简单附个图:

<img src="https://images.seebug.org/upload/201507/1510122751ff30dfeb2cb8d8072eee928845cf00.png" alt="core44444QQ图片20150715100932.png" width="600" onerror="javascript:errimg(this);">

综上,漏洞触发简单,无浏览器限制, 危害大。