VULHUB ™

### 简要描述： 漏洞1、任意用户认证信息劫持 漏洞2、跨站 漏洞3、内置账号弱口令 ### 详细说明： 1、邮件系统直接把用户sessionid放置于url中，导致可利用图片探针轻易窃取到用户sessionid。 2、跨站漏洞，主要还是编辑器。 3、内置账号nobody默认口令为空，直接拿nobody搞到通讯录，然后就可以爆破其他人邮箱了，或者直接利用问题1劫持。 ### 漏洞证明： 1、将图片探针插入到qq邮箱或其他邮箱img标签中发送给需要劫持的邮箱 [<img src="https://images.seebug.org/upload/201405/142343569479550393a636bdb5850298331cdfd3.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/142343569479550393a636bdb5850298331cdfd3.jpg) 对方在收到邮件阅读邮件时触发包含在邮件中的图片探针，手机第一时间收到包含sessionid的url [<img src="https://images.seebug.org/upload/201405/150004395721fe58fa8020185abc200bc0d3d46f.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/150004395721fe58fa8020185abc200bc0d3d46f.jpg) 获得的sessionid为582656dH37b809_0，则直接构造如下地址即可登陆邮箱 http://mail.xxxx.cn/tmw/582656dH37b809_0/main1.jsp 或者 http://mail.xxxx.cn/tmw/582656dH37b809_0/enterprise/main.jsp [<img...

### 简要描述： 漏洞1、任意用户认证信息劫持 漏洞2、跨站 漏洞3、内置账号弱口令 ### 详细说明： 1、邮件系统直接把用户sessionid放置于url中，导致可利用图片探针轻易窃取到用户sessionid。 2、跨站漏洞，主要还是编辑器。 3、内置账号nobody默认口令为空，直接拿nobody搞到通讯录，然后就可以爆破其他人邮箱了，或者直接利用问题1劫持。 ### 漏洞证明： 1、将图片探针插入到qq邮箱或其他邮箱img标签中发送给需要劫持的邮箱 [<img src="https://images.seebug.org/upload/201405/142343569479550393a636bdb5850298331cdfd3.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/142343569479550393a636bdb5850298331cdfd3.jpg) 对方在收到邮件阅读邮件时触发包含在邮件中的图片探针，手机第一时间收到包含sessionid的url [<img src="https://images.seebug.org/upload/201405/150004395721fe58fa8020185abc200bc0d3d46f.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/150004395721fe58fa8020185abc200bc0d3d46f.jpg) 获得的sessionid为582656dH37b809_0，则直接构造如下地址即可登陆邮箱 http://mail.xxxx.cn/tmw/582656dH37b809_0/main1.jsp 或者 http://mail.xxxx.cn/tmw/582656dH37b809_0/enterprise/main.jsp [<img src="https://images.seebug.org/upload/201405/15001713dcbe51071df967a74e571515c93b0df1.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/15001713dcbe51071df967a74e571515c93b0df1.jpg) 当然，你也可以利用下面的跨站漏洞去劫持。 2、跨站漏洞，编辑器中可直接插脚本，邮件阅读模块也没有对邮件内容作过滤。 [<img src="https://images.seebug.org/upload/201405/15003007d9f3b25e86f259384794c0e3c05703ef.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/15003007d9f3b25e86f259384794c0e3c05703ef.jpg) 另外签名档里也存在跨站。 3、弱口令，邮件系统默认后台管理员账号nobody的密码为空，目前网上还有很多可以直接nobody空口令进去。某银行的邮件系统就如此，大家自己去找吧。下面贴几个截图。 官方后台地址：http://www.turbomail.org:8888/maintlogin.jsp [<img src="https://images.seebug.org/upload/201405/150037041f781d4ec502d7128b261c601b2a8f4c.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/150037041f781d4ec502d7128b261c601b2a8f4c.jpg) [<img src="https://images.seebug.org/upload/201405/150037147e3ec492a691545faa4feb648327ccbf.jpg" alt="6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/150037147e3ec492a691545faa4feb648327ccbf.jpg) [<img src="https://images.seebug.org/upload/201405/1500372877f24d884bcf0909e2009e4a5a2d9b86.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1500372877f24d884bcf0909e2009e4a5a2d9b86.jpg) 大家变换关键词找吧。 [<img src="https://images.seebug.org/upload/201405/15005350729cea5f1bb469653bd03e94858fbf17.jpg" alt="8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/15005350729cea5f1bb469653bd03e94858fbf17.jpg)