Turbomail邮件系统部分版本存在xss

2015-02-11T00:00:00
ID SSV:95639
Type seebug
Reporter Root
Modified 2015-02-11T00:00:00

Description

简要描述:

Turbomail邮件系统存在一处高危漏洞,可以利用此漏洞永久劫持客户邮箱。

详细说明:

Turbomail邮件系统存在一处高危漏洞,可以利用此漏洞永久劫持客户邮箱。做到长期控守。 测试网址:http://mail.xacg.gov.cn:8088/ 测试账号和密码可以私信讨要。 漏洞实现方式:打开写信,发送一封邮件,由于没有多余的账号测试故在这里自己给自己发一封测试信件,在收件人处写上原始代码<style><img src="</style><img src=x onerror=alert(1)//"><moyuee@root>,主题随意写,内容随意写完了点击发送。刷新收到信件,打开如图(一):

<img src="https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png" alt="QQ图片tuebo1111120150130081957.png" width="600" onerror="javascript:errimg(this);">

可以看到没任何显示,此时点击"转发"按钮或者"回复"或者"回复所有"效果如图(二):

<img src="https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png" alt="QQ图片turb222220150130082121.png" width="600" onerror="javascript:errimg(this);">

弹框出现。
看官们可能要问了:"你丫的这就是几个个xss漏洞而已,根本不是邮箱劫持呀",各位看官们不要着急,亮点马上出来。
现在我们关掉之前打开的一些信件,重新写一封新的邮件,此时我们发现在点击完"写信"按钮后,在随后出来的写信界面直接弹出了如下框图(三):

<img src="https://images.seebug.org/upload/201501/3008243758085ae78591c7b0ebc0bdaf6f2a7668.png" alt="QQ图片trub3333320150130082402.png" width="600" onerror="javascript:errimg(this);">

可以看到邮箱劫持已经出现,也就是说只要攻击者给目标A发送如上文的一封信件(测试poc里面的alert(1)用回传cookie的js代码代替),完了每当目标A再给同一邮箱系统的B或者C等人写信的时候,目标A的邮箱会自动回传一份自己邮箱的cookie信息到攻击者的后台去,攻击者利用cookie实现长期控守的目的。

漏洞分析,是因为在点击"回复"或者转发或者重新打开"写信"的时候,邮箱右侧常用联系人列表会在当前页面自动展现出来,而列表中的常用联系人帐号的昵称处没有做防御xss处理,从而导致无论进行什么操作的时候xss代码都执行,也就是实现劫持帐号。

漏洞证明:

Turbomail邮件系统存在一处高危漏洞,可以利用此漏洞永久劫持客户邮箱。做到长期控守。 测试网址:http://mail.xacg.gov.cn:8088/ 测试账号和密码可以私信讨要。 漏洞实现方式:打开写信,发送一封邮件,由于没有多余的账号测试故在这里自己给自己发一封测试信件,在收件人处写上原始代码<style><img src="</style><img src=x onerror=alert(1)//"><moyuee@root>,主题随意写,内容随意写完了点击发送。刷新收到信件,打开如图(一):

<img src="https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png" alt="QQ图片tuebo1111120150130081957.png" width="600" onerror="javascript:errimg(this);">

可以看到没任何显示,此时点击"转发"按钮或者"回复"或者"回复所有"效果如图(二):

<img src="https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png" alt="QQ图片turb222220150130082121.png" width="600" onerror="javascript:errimg(this);">

弹框出现。
看官们可能要问了:"你丫的这就是几个个xss漏洞而已,根本不是邮箱劫持呀",各位看官们不要着急,亮点马上出来。
现在我们关掉之前打开的一些信件,重新写一封新的邮件,此时我们发现在点击完"写信"按钮后,在随后出来的写信界面直接弹出了如下框图(三):

<img src="https://images.seebug.org/upload/201501/3008243758085ae78591c7b0ebc0bdaf6f2a7668.png" alt="QQ图片trub3333320150130082402.png" width="600" onerror="javascript:errimg(this);">

可以看到邮箱劫持已经出现,也就是说只要攻击者给目标A发送如上文的一封信件(测试poc里面的alert(1)用回传cookie的js代码代替),完了每当目标A再给同一邮箱系统的B或者C等人写信的时候,目标A的邮箱会自动回传一份自己邮箱的cookie信息到攻击者的后台去,攻击者利用cookie实现长期控守的目的。

漏洞分析,是因为在点击"回复"或者转发或者重新打开"写信"的时候,邮箱右侧常用联系人列表会在当前页面自动展现出来,而列表中的常用联系人帐号的昵称处没有做防御xss处理,从而导致无论进行什么操作的时候xss代码都执行,也就是实现劫持帐号。