VULHUB ™

### 简要描述： 有点奇葩但是已经遇到过两次的漏洞。不过不要因为我分类选了“信息泄漏”就觉得这个只是小漏洞……其实这货可能影响大了呢！而且里面的利用可以结合之前我提交的JIS的漏洞综合来利用，还是有点意思的 ### 详细说明： 2.2.1版本的JIS中某个文件包含了JIS相关邮件找回密码的邮箱信息！包含邮箱用户名和邮箱密码！也就是说，有一部分版本的JIS，找回用户密码的功能所发出的邮件，都是利用该邮箱发出的！到底有什么危害？下面继续看 ### 漏洞证明： jis\check\findpwd\opr_validate.jsp ``` String sender =(new InternetAddress("统一身份认证系统").toString()); String fromEmail ="jis_hanweb@163.com"; String emailPwd = "123456"; ``` 太明显不过的弱口令了，jis_hanweb@163.com/123456 看了几套JIS的代码，里面都是用的这个来找回密码！为了证明这密码是正确的，登录163吧 [<img src="https://images.seebug.org/upload/201402/07005602865c9a78af40a6088cdd14a42ca69d46.png" alt="image071.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/07005602865c9a78af40a6088cdd14a42ca69d46.png) [<img src="https://images.seebug.org/upload/201402/07005629f73af665b9620ecd56638d9288bf036b.png" alt="image073.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/07005629f73af665b9620ecd56638d9288bf036b.png)...

### 简要描述： 有点奇葩但是已经遇到过两次的漏洞。不过不要因为我分类选了“信息泄漏”就觉得这个只是小漏洞……其实这货可能影响大了呢！而且里面的利用可以结合之前我提交的JIS的漏洞综合来利用，还是有点意思的 ### 详细说明： 2.2.1版本的JIS中某个文件包含了JIS相关邮件找回密码的邮箱信息！包含邮箱用户名和邮箱密码！也就是说，有一部分版本的JIS，找回用户密码的功能所发出的邮件，都是利用该邮箱发出的！到底有什么危害？下面继续看 ### 漏洞证明： jis\check\findpwd\opr_validate.jsp ``` String sender =(new InternetAddress("统一身份认证系统").toString()); String fromEmail ="jis_hanweb@163.com"; String emailPwd = "123456"; ``` 太明显不过的弱口令了，jis_hanweb@163.com/123456 看了几套JIS的代码，里面都是用的这个来找回密码！为了证明这密码是正确的，登录163吧 [<img src="https://images.seebug.org/upload/201402/07005602865c9a78af40a6088cdd14a42ca69d46.png" alt="image071.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/07005602865c9a78af40a6088cdd14a42ca69d46.png) [<img src="https://images.seebug.org/upload/201402/07005629f73af665b9620ecd56638d9288bf036b.png" alt="image073.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/07005629f73af665b9620ecd56638d9288bf036b.png) http://management.ysx.gov.cn/jis/check\findpwd\opr_validate.jsp?userid=admin&mail=xxx@ccc.com 构造好正确的userid、和邮件地址（两个要对应的），直接访问会提示发送成功： 然后去到邮箱的“已发送”，可以看见刚才发的邮件，里面包含对应用户的密码！明文！ [<img src="https://images.seebug.org/upload/201402/070057220e8be313510a9d40f287342cb7a682c0.png" alt="image076.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/070057220e8be313510a9d40f287342cb7a682c0.png) 结合之前提交过的jis/main/onlineuser.jsp这个越权漏洞（详细见 [WooYun: 大汉版通JIS统一身份认证系统后台文件上传漏洞及两处越权漏洞](http://www.wooyun.org/bugs/wooyun-2014-050087) ），可以查看“某些账户”的邮箱 [<img src="https://images.seebug.org/upload/201402/07005810f6c9cc4026b3815a331f96c957ef44ae.png" alt="image078.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/07005810f6c9cc4026b3815a331f96c957ef44ae.png) 从而导致进一步的……利用。 其它用户的密码截图： [<img src="https://images.seebug.org/upload/201402/0700593561ddf7d662923df219fd08e67618a016.png" alt="image080.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/0700593561ddf7d662923df219fd08e67618a016.png) [<img src="https://images.seebug.org/upload/201402/070059507f16a0c8ccfe08b67165f0443e294d46.png" alt="image081.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/070059507f16a0c8ccfe08b67165f0443e294d46.png) 但是注意，如果某个用户的邮箱是空的话，是无法发送邮件的，所以在已发送那也是找不到的。 不过如果真想修改某个用户的邮箱，也没什么问题，详细可以看 [WooYun: 大汉版通JIS统一身份认证系统某处可任意修改用户密码](http://www.wooyun.org/bugs/wooyun-2014-050329) 里面的某个参数是可以直接修改某个指定用户的邮箱的！如果把他改成我们的，会咋样呢？不知道哦