### 简要描述:
本来无需点击即可触发,但是版本有更新了,抓url包看到新到未读信件内容不再是自动加载了,故修改标题,轻松绕过,xss比上个更易触发。
### 详细说明:
感觉Coremail邮箱应该在某个地方应该还存在过滤缺陷,故查看了下http://www.coremail.cn/的用户列表,恰好有个朋友她们用的就是该邮件系统的邮箱,故让其帮忙申请了个内部邮箱,一番测试果然该处存在xss漏洞,触发简单,容易中招。
漏洞地点在发件人昵称处,正常情况下,给邮箱帐号起个昵称如h<iframe onload=alert(8)>发信过去发现没反应,打开信不触发,浏览信头如图:
[<img src="https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png" alt="111111QQ图片20150722163357.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png)
浏览乌云发现有帅哥提交过 [WooYun: 盈世Coremail的XT3.0版存储型XSS无需点击邮件即可触发](http://www.wooyun.org/bugs/wooyun-2015-0112600) 看标题猜测应该是提交过这种。
尝试绕过,将该封邮件下载下来,打开修改信头from处为如图(注意两图区别):
[<img src="https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg" alt="2222222QQ图片20150722163722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg)
将整封信发送出去(发信工具丑就不秀了),收到信后打开如图:
[<img src="https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png" alt="33333QQ图片20150722164153.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png)
[<img src="https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png" alt="44444QQ图片20150722164249.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png)
该xss无浏览器限制,打开信就触发,危害非常大。
### 漏洞证明:
感觉Coremail邮箱应该在某个地方应该还存在过滤缺陷,故查看了下http://www.coremail.cn/的用户列表,恰好有个朋友她们用的就是该邮件系统的邮箱,故让其帮忙申请了个内部邮箱,一番测试果然该处存在xss漏洞,触发简单,容易中招。
漏洞地点在发件人昵称处,正常情况下,给邮箱帐号起个昵称如h<iframe onload=alert(8)>发信过去发现没反应,打开信不触发,浏览信头如图:
[<img src="https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png" alt="111111QQ图片20150722163357.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22163703cd026a13a452ecb01c0130d795132f06.png)
浏览乌云发现有帅哥提交过 [WooYun: 盈世Coremail的XT3.0版存储型XSS无需点击邮件即可触发](http://www.wooyun.org/bugs/wooyun-2015-0112600) 看标题猜测应该是提交过这种。
尝试绕过,将该封邮件下载下来,打开修改信头from处为如图(注意两图区别):
[<img src="https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg" alt="2222222QQ图片20150722163722.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/22164021e7cf0adedebf9274c043651e6b33e737.jpg)
将整封信发送出去(发信工具丑就不秀了),收到信后打开如图:
[<img src="https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png" alt="33333QQ图片20150722164153.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/221645314c698577ee3be96a603c53cc6492e229.png)
[<img src="https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png" alt="44444QQ图片20150722164249.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201507/2216454227d0697249cb5b1b17eadea8838baef0.png)
该xss无浏览器限制,打开信就触发,危害非常大。
京公网安备 11010502034610号
暂无评论