VULHUB ™

### 简要描述： Turbomail邮件系统存在几处xss存储型漏洞。 ### 详细说明： Turbomail邮件系统存在几处xss漏洞，可以利用此漏洞获取客户邮箱cookie。 漏洞一：简单绕过附件名称过滤，实现xss，打开信件就触发。 测试代码： 构造图片附件，命名he<front><image src="x<front>"onerror=alert(document.domain).jpg发送信件，打开中，为了证明普遍性，特在几个不同版本邮箱中测试截图如下： [<img src="https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png" alt="turbo11111QQ图片20150702115438.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png) [<img src="https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png" alt="turbo22222QQ图片20150702115610.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png) 某个版本需要转发信件时才能触发： [<img src="https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png" alt="turbo3333QQ图片20150702115719.png" width="600"...

### 简要描述： Turbomail邮件系统存在几处xss存储型漏洞。 ### 详细说明： Turbomail邮件系统存在几处xss漏洞，可以利用此漏洞获取客户邮箱cookie。 漏洞一：简单绕过附件名称过滤，实现xss，打开信件就触发。 测试代码： 构造图片附件，命名he<front><image src="x<front>"onerror=alert(document.domain).jpg发送信件，打开中，为了证明普遍性，特在几个不同版本邮箱中测试截图如下： [<img src="https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png" alt="turbo11111QQ图片20150702115438.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png) [<img src="https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png" alt="turbo22222QQ图片20150702115610.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png) 某个版本需要转发信件时才能触发： [<img src="https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png" alt="turbo3333QQ图片20150702115719.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png) 漏洞二：某些版本在发件人昵称处存在xss漏洞，打开信鼠标经过发件人区域时触发，此时发件人区域颜色变黄： [<img src="https://images.seebug.org/upload/201507/02133605a97239cecc696b66c8c3180135510bec.png" alt="tour4444QQ图片20150702133130.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133605a97239cecc696b66c8c3180135510bec.png) 漏洞三：信件正文区域，测试代码来自mramydnei分享的http://**.**.**.**/content/14034 <svg><animateTransform attributeName=transform onbegin=alert(2)>，在低版本直接打开信触发，在高版本在信件回复的时候触发截图：直接触发 [<img src="https://images.seebug.org/upload/201507/0213445421c90d4ad37c4712bc2fb7cc680be3ec.png" alt="turbo6666QQ图片20150702134216.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/0213445421c90d4ad37c4712bc2fb7cc680be3ec.png) 回复触发： [<img src="https://images.seebug.org/upload/201507/02134522ead6b71c42b2a594b813142e57fdac09.png" alt="turb5555QQ图片20150702134127.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02134522ead6b71c42b2a594b813142e57fdac09.png) ### 漏洞证明： Turbomail邮件系统存在几处xss漏洞，可以利用此漏洞获取客户邮箱cookie。 漏洞一：简单绕过附件名称过滤，实现xss，打开信件就触发。 测试代码： 构造图片附件，命名he<front><image src="x<front>"onerror=alert(document.domain).jpg发送信件，打开中，为了证明普遍性，特在几个不同版本邮箱中测试截图如下： [<img src="https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png" alt="turbo11111QQ图片20150702115438.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133010e9ee415a3c368c4816d24e644dfc7e02.png) [<img src="https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png" alt="turbo22222QQ图片20150702115610.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133046d3fe7605ab79b1457e0d8bc1664a4e9f.png) 某个版本需要转发信件时才能触发： [<img src="https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png" alt="turbo3333QQ图片20150702115719.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133201246ea04fa19b502591662833905255e0.png) 漏洞二：某些版本在发件人昵称处存在xss漏洞，打开信鼠标经过发件人区域时触发，此时发件人区域颜色变黄： [<img src="https://images.seebug.org/upload/201507/02133605a97239cecc696b66c8c3180135510bec.png" alt="tour4444QQ图片20150702133130.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02133605a97239cecc696b66c8c3180135510bec.png) 漏洞三：信件正文区域，测试代码来自mramydnei分享的http://**.**.**.**/content/14034 <svg><animateTransform attributeName=transform onbegin=alert(2)>，在低版本直接打开信触发，在高版本在信件回复的时候触发截图：直接触发 [<img src="https://images.seebug.org/upload/201507/0213445421c90d4ad37c4712bc2fb7cc680be3ec.png" alt="turbo6666QQ图片20150702134216.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/0213445421c90d4ad37c4712bc2fb7cc680be3ec.png) 回复触发： [<img src="https://images.seebug.org/upload/201507/02134522ead6b71c42b2a594b813142e57fdac09.png" alt="turb5555QQ图片20150702134127.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/02134522ead6b71c42b2a594b813142e57fdac09.png)