VULHUB ™

### 简要描述： coremail邮箱设计逻辑缺陷导致任意密码重置（这种标题是不是行家一看就知道怎么搞了？审核时候把标题改一下吧，我不知道如何改。） ### 详细说明： 看了学校某个同学提交的漏洞，得到了一台thinkpad，我笔记本也不行了，就来挖洞了。 1 老规矩，走正常重置密码的途径。 http://**.**.**.**/ [<img src="https://images.seebug.org/upload/201603/171728323c175e39aedd3e039d76d0b9225f1cf7.png" alt="m1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/171728323c175e39aedd3e039d76d0b9225f1cf7.png) 2输入自己的邮箱 [<img src="https://images.seebug.org/upload/201603/17172936108630caf9af87e139d2a74d0437d746.png" alt="m2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17172936108630caf9af87e139d2a74d0437d746.png) [<img src="https://images.seebug.org/upload/201603/17173009524c7561ee3e5a298c225a9e905fffcf.png" alt="m3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173009524c7561ee3e5a298c225a9e905fffcf.png) 3 先看参数uid和token是不是一一对应起来的 [<img...

### 简要描述： coremail邮箱设计逻辑缺陷导致任意密码重置（这种标题是不是行家一看就知道怎么搞了？审核时候把标题改一下吧，我不知道如何改。） ### 详细说明： 看了学校某个同学提交的漏洞，得到了一台thinkpad，我笔记本也不行了，就来挖洞了。 1 老规矩，走正常重置密码的途径。 http://**.**.**.**/ [<img src="https://images.seebug.org/upload/201603/171728323c175e39aedd3e039d76d0b9225f1cf7.png" alt="m1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/171728323c175e39aedd3e039d76d0b9225f1cf7.png) 2输入自己的邮箱 [<img src="https://images.seebug.org/upload/201603/17172936108630caf9af87e139d2a74d0437d746.png" alt="m2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17172936108630caf9af87e139d2a74d0437d746.png) [<img src="https://images.seebug.org/upload/201603/17173009524c7561ee3e5a298c225a9e905fffcf.png" alt="m3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173009524c7561ee3e5a298c225a9e905fffcf.png) 3 先看参数uid和token是不是一一对应起来的 [<img src="https://images.seebug.org/upload/201603/1717304894498ea96f7410f757e6719a203728a2.png" alt="m5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717304894498ea96f7410f757e6719a203728a2.png) uid改成17125817 [<img src="https://images.seebug.org/upload/201603/171731267d60021127340034f381f211398d759f.png" alt="m7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/171731267d60021127340034f381f211398d759f.png) 失败，好吧，继续走正常流程 [<img src="https://images.seebug.org/upload/201603/17173154ea88cafda6f90490308d07e9a3b2877f.png" alt="m8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173154ea88cafda6f90490308d07e9a3b2877f.png) 4 好戏来了，重点在这里 [<img src="https://images.seebug.org/upload/201603/17173234c964a5df5ba87bb076ad85116cce4fdf.png" alt="m8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173234c964a5df5ba87bb076ad85116cce4fdf.png) 这一步，没有对用户的身份进行验证合法性 [<img src="https://images.seebug.org/upload/201603/1717325825e31bcede599e5c253d19ee9eb55298.png" alt="m10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717325825e31bcede599e5c253d19ee9eb55298.png) [<img src="https://images.seebug.org/upload/201603/17173355742f40f85ba8987d1988728aaaadd28a.png" alt="m13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173355742f40f85ba8987d1988728aaaadd28a.png) 登陆一下 刚才的目标邮箱 [<img src="https://images.seebug.org/upload/201603/1717344485beeb32642be7dcbe595fb81310e0ac.png" alt="m14.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717344485beeb32642be7dcbe595fb81310e0ac.png) 然后看这个漏洞，我们能干什么？随便找一个任课老师的邮箱，考前神不知鬼不觉的入侵邮箱搞到期末考试的试卷，是不是躺着也保送清北华五？ [<img src="https://images.seebug.org/upload/201603/1717405459576a298399b040218728570ad44453.png" alt=")~W6J_M)2(9$FFB0N~RFJ[A.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717405459576a298399b040218728570ad44453.png) 然后我们去看这个漏洞影响了多少单位？ http://**.**.**.**/jyjg/list_32.aspx 请在此页查看。 高校 企业 事业 。。。。。。上百家单位。 我想问这样的漏洞，厂商给多少奖励和RANK？ 我的thinkpad还有希望吗？ ### 漏洞证明： 看了学校某个同学提交的漏洞，得到了一台thinkpad，我笔记本也不行了，就来挖洞了。 1 老规矩，走正常重置密码的途径。 http://**.**.**.**/ [<img src="https://images.seebug.org/upload/201603/171728323c175e39aedd3e039d76d0b9225f1cf7.png" alt="m1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/171728323c175e39aedd3e039d76d0b9225f1cf7.png) 2输入自己的邮箱 [<img src="https://images.seebug.org/upload/201603/17172936108630caf9af87e139d2a74d0437d746.png" alt="m2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17172936108630caf9af87e139d2a74d0437d746.png) [<img src="https://images.seebug.org/upload/201603/17173009524c7561ee3e5a298c225a9e905fffcf.png" alt="m3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173009524c7561ee3e5a298c225a9e905fffcf.png) 3 先看参数uid和token是不是一一对应起来的 [<img src="https://images.seebug.org/upload/201603/1717304894498ea96f7410f757e6719a203728a2.png" alt="m5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717304894498ea96f7410f757e6719a203728a2.png) uid改成17125817 [<img src="https://images.seebug.org/upload/201603/171731267d60021127340034f381f211398d759f.png" alt="m7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/171731267d60021127340034f381f211398d759f.png) 失败，好吧，继续走正常流程 [<img src="https://images.seebug.org/upload/201603/17173154ea88cafda6f90490308d07e9a3b2877f.png" alt="m8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173154ea88cafda6f90490308d07e9a3b2877f.png) 4 好戏来了，重点在这里 [<img src="https://images.seebug.org/upload/201603/17173234c964a5df5ba87bb076ad85116cce4fdf.png" alt="m8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173234c964a5df5ba87bb076ad85116cce4fdf.png) 这一步，没有对用户的身份进行验证合法性 [<img src="https://images.seebug.org/upload/201603/1717325825e31bcede599e5c253d19ee9eb55298.png" alt="m10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717325825e31bcede599e5c253d19ee9eb55298.png) [<img src="https://images.seebug.org/upload/201603/17173355742f40f85ba8987d1988728aaaadd28a.png" alt="m13.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/17173355742f40f85ba8987d1988728aaaadd28a.png) 登陆一下 刚才的目标邮箱 [<img src="https://images.seebug.org/upload/201603/1717344485beeb32642be7dcbe595fb81310e0ac.png" alt="m14.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717344485beeb32642be7dcbe595fb81310e0ac.png) 然后看这个漏洞，我们能干什么？随便找一个任课老师的邮箱，考前神不知鬼不觉的入侵邮箱搞到期末考试的试卷，是不是躺着也保送清北华五？ [<img src="https://images.seebug.org/upload/201603/1717405459576a298399b040218728570ad44453.png" alt=")~W6J_M)2(9$FFB0N~RFJ[A.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201603/1717405459576a298399b040218728570ad44453.png) 然后我们去看这个漏洞影响了多少单位？ http://**.**.**.**/jyjg/list_32.aspx 请在此页查看。 高校 企业 事业 。。。。。。上百家单位。 我想问这样的漏洞，厂商给多少奖励和RANK？ 我的thinkpad还有希望吗？