VULHUB ™

### 简要描述： 本来无需点击即可触发，但是版本有更新了，抓url包看到新到未读信件内容不再是自动加载了，故修改标题，轻松绕过，xss比上个更易触发。 ### 详细说明： 感觉Coremail邮箱应该在某个地方应该还存在过滤缺陷，故查看了下http://www.coremail.cn/的用户列表，恰好有个朋友她们用的就是该邮件系统的邮箱，故让其帮忙申请了个内部邮箱，一番测试果然该处存在xss漏洞，触发简单，容易中招。 漏洞地点在发件人昵称处，正常情况下，给邮箱帐号起个昵称如h<iframe onload=alert(8)>发信过去发现没反应，打开信不触发，浏览信头如图： [<img src="https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png" alt="111111QQ图片20150722163357.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png) 浏览乌云发现有帅哥提交过 [WooYun: 盈世Coremail的XT3.0版存储型XSS无需点击邮件即可触发](http://www.wooyun.org/bugs/wooyun-2015-0112600) 看标题猜测应该是提交过这种。 尝试绕过，将该封邮件下载下来，打开修改信头from处为如图(注意两图区别)： [<img src="https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg" alt="2222222QQ图片20150722163722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg)...

### 简要描述： 本来无需点击即可触发，但是版本有更新了，抓url包看到新到未读信件内容不再是自动加载了，故修改标题，轻松绕过，xss比上个更易触发。 ### 详细说明： 感觉Coremail邮箱应该在某个地方应该还存在过滤缺陷，故查看了下http://www.coremail.cn/的用户列表，恰好有个朋友她们用的就是该邮件系统的邮箱，故让其帮忙申请了个内部邮箱，一番测试果然该处存在xss漏洞，触发简单，容易中招。 漏洞地点在发件人昵称处，正常情况下，给邮箱帐号起个昵称如h<iframe onload=alert(8)>发信过去发现没反应，打开信不触发，浏览信头如图： [<img src="https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png" alt="111111QQ图片20150722163357.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png) 浏览乌云发现有帅哥提交过 [WooYun: 盈世Coremail的XT3.0版存储型XSS无需点击邮件即可触发](http://www.wooyun.org/bugs/wooyun-2015-0112600) 看标题猜测应该是提交过这种。 尝试绕过，将该封邮件下载下来，打开修改信头from处为如图(注意两图区别)： [<img src="https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg" alt="2222222QQ图片20150722163722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg) 将整封信发送出去(发信工具丑就不秀了)，收到信后打开如图： [<img src="https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png" alt="33333QQ图片20150722164153.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png) [<img src="https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png" alt="44444QQ图片20150722164249.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png) 该xss无浏览器限制，打开信就触发，危害非常大。 ### 漏洞证明： 感觉Coremail邮箱应该在某个地方应该还存在过滤缺陷，故查看了下http://www.coremail.cn/的用户列表，恰好有个朋友她们用的就是该邮件系统的邮箱，故让其帮忙申请了个内部邮箱，一番测试果然该处存在xss漏洞，触发简单，容易中招。 漏洞地点在发件人昵称处，正常情况下，给邮箱帐号起个昵称如h<iframe onload=alert(8)>发信过去发现没反应，打开信不触发，浏览信头如图： [<img src="https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png" alt="111111QQ图片20150722163357.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png) 浏览乌云发现有帅哥提交过 [WooYun: 盈世Coremail的XT3.0版存储型XSS无需点击邮件即可触发](http://www.wooyun.org/bugs/wooyun-2015-0112600) 看标题猜测应该是提交过这种。 尝试绕过，将该封邮件下载下来，打开修改信头from处为如图(注意两图区别)： [<img src="https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg" alt="2222222QQ图片20150722163722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg) 将整封信发送出去(发信工具丑就不秀了)，收到信后打开如图： [<img src="https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png" alt="33333QQ图片20150722164153.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png) [<img src="https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png" alt="44444QQ图片20150722164249.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png) 该xss无浏览器限制，打开信就触发，危害非常大。