VULHUB ™

### 简要描述： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。 ### 详细说明： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。做到长期控守。 测试网址：http://mail.xacg.gov.cn:8088/ 测试账号和密码可以私信讨要。 漏洞实现方式：打开写信，发送一封邮件，由于没有多余的账号测试故在这里自己给自己发一封测试信件，在收件人处写上原始代码<style><img src="</style><img src=x onerror=alert(1)//"><moyuee@root>，主题随意写，内容随意写完了点击发送。刷新收到信件，打开如图(一)： [<img src="https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png" alt="QQ图片tuebo1111120150130081957.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png) 可以看到没任何显示，此时点击"转发"按钮或者"回复"或者"回复所有"效果如图(二)： [<img src="https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png" alt="QQ图片turb222220150130082121.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png) 弹框出现。 看官们可能要问了："你丫的这就是几个个xss漏洞而已，根本不是邮箱劫持呀"，各位看官们不要着急，亮点马上出来。...

### 简要描述： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。 ### 详细说明： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。做到长期控守。 测试网址：http://mail.xacg.gov.cn:8088/ 测试账号和密码可以私信讨要。 漏洞实现方式：打开写信，发送一封邮件，由于没有多余的账号测试故在这里自己给自己发一封测试信件，在收件人处写上原始代码<style><img src="</style><img src=x onerror=alert(1)//"><moyuee@root>，主题随意写，内容随意写完了点击发送。刷新收到信件，打开如图(一)： [<img src="https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png" alt="QQ图片tuebo1111120150130081957.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png) 可以看到没任何显示，此时点击"转发"按钮或者"回复"或者"回复所有"效果如图(二)： [<img src="https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png" alt="QQ图片turb222220150130082121.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png) 弹框出现。 看官们可能要问了："你丫的这就是几个个xss漏洞而已，根本不是邮箱劫持呀"，各位看官们不要着急，亮点马上出来。 现在我们关掉之前打开的一些信件，重新写一封新的邮件，此时我们发现在点击完"写信"按钮后，在随后出来的写信界面直接弹出了如下框图(三)： [<img src="https://images.seebug.org/upload/201501/3008243758085ae78591c7b0ebc0bdaf6f2a7668.png" alt="QQ图片trub3333320150130082402.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/3008243758085ae78591c7b0ebc0bdaf6f2a7668.png) 可以看到邮箱劫持已经出现，也就是说只要攻击者给目标A发送如上文的一封信件(测试poc里面的alert(1)用回传cookie的js代码代替)，完了每当目标A再给同一邮箱系统的B或者C等人写信的时候，目标A的邮箱会自动回传一份自己邮箱的cookie信息到攻击者的后台去，攻击者利用cookie实现长期控守的目的。 漏洞分析，是因为在点击"回复"或者转发或者重新打开"写信"的时候，邮箱右侧常用联系人列表会在当前页面自动展现出来，而列表中的常用联系人帐号的昵称处没有做防御xss处理，从而导致无论进行什么操作的时候xss代码都执行，也就是实现劫持帐号。 ### 漏洞证明： Turbomail邮件系统存在一处高危漏洞，可以利用此漏洞永久劫持客户邮箱。做到长期控守。 测试网址：http://mail.xacg.gov.cn:8088/ 测试账号和密码可以私信讨要。 漏洞实现方式：打开写信，发送一封邮件，由于没有多余的账号测试故在这里自己给自己发一封测试信件，在收件人处写上原始代码<style><img src="</style><img src=x onerror=alert(1)//"><moyuee@root>，主题随意写，内容随意写完了点击发送。刷新收到信件，打开如图(一)： [<img src="https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png" alt="QQ图片tuebo1111120150130081957.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/300820356df0c3c73c943c578a617b01805f7f92.png) 可以看到没任何显示，此时点击"转发"按钮或者"回复"或者"回复所有"效果如图(二)： [<img src="https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png" alt="QQ图片turb222220150130082121.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/300821559fe6581fbfacbc14c59165086c34aef2.png) 弹框出现。 看官们可能要问了："你丫的这就是几个个xss漏洞而已，根本不是邮箱劫持呀"，各位看官们不要着急，亮点马上出来。 现在我们关掉之前打开的一些信件，重新写一封新的邮件，此时我们发现在点击完"写信"按钮后，在随后出来的写信界面直接弹出了如下框图(三)： [<img src="https://images.seebug.org/upload/201501/3008243758085ae78591c7b0ebc0bdaf6f2a7668.png" alt="QQ图片trub3333320150130082402.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/3008243758085ae78591c7b0ebc0bdaf6f2a7668.png) 可以看到邮箱劫持已经出现，也就是说只要攻击者给目标A发送如上文的一封信件(测试poc里面的alert(1)用回传cookie的js代码代替)，完了每当目标A再给同一邮箱系统的B或者C等人写信的时候，目标A的邮箱会自动回传一份自己邮箱的cookie信息到攻击者的后台去，攻击者利用cookie实现长期控守的目的。 漏洞分析，是因为在点击"回复"或者转发或者重新打开"写信"的时候，邮箱右侧常用联系人列表会在当前页面自动展现出来，而列表中的常用联系人帐号的昵称处没有做防御xss处理，从而导致无论进行什么操作的时候xss代码都执行，也就是实现劫持帐号。