记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某邮件系统多处安全漏洞打包(任意账户劫持等)

2014-08-04 13:35

JDMAIL金迪邮件系统

部分客户名单:http://www.mailer.com.cn/Products6.html,用户量挺大。

官方demo地址:http://www.mailer.com.cn/demo/

测试地址:http://mail.mailer.cn/

测试账号:vip987@mailer.cn、test@mailer.cn、chyb@mailer.cn、postmaster@root



第一处漏洞:任意密码重置

在用户找回密码时,只能通过找回密码问题进行找回密码。

当成功找回密码成功时,发送的链接如下:

链接:http://mail.mailer.cn/jdwm/cgi/getpwd.cgi

POST:three=1&email=username%40mailer.cn&newp=password1&newp2=password2

这里的email就是需要修改的用户名,后面为修改的密码。

这里我们只需要修改post里面的email即可修改对应的用户密码。

测试用户test@mailer.cn

尝试密码123456,登陆失败:

1.png



我们来修改此用户名的密码为123456:

2.png



此时已经修改成功了,可以直接登陆了:

3.png





第二处漏洞:多处存储型XSS可劫持用户cookie

第一处XSS:

在发送邮件时,邮件主题处存在存储型XSS,可劫持账户。

官方demo:http://mail.mailer.cn/

官方测试帐号vip987@mailer.cn, test@mail.cn

vip987@mailer.cn给用户test@mail.cn发送如下Email内容:

4.png



来看看test@mail.cn用户收到的Email时:

5.png



test@mail.cn打开Email查看时就被劫持了。

第二处XSS:

在邮件正文添加文件,在文件说明处存在存储型xss。

用vip987@mail.cn发送邮件给test@mail.cn时

在邮件正文添加文件,在文件说明处填入xss code

6.png



然后发送邮件。

然后登录test@mail.cn时,查看邮件时即触发xss code:

7.png



此漏洞可劫持任意用户。

第三处XSS

此处xss很隐蔽,需要按步骤操作才可触发!!!

在发送邮件时,添加图片,图片说明处存在存储型XSS,可劫持账户。

官方demo:http://mail.mailer.cn/

官方测试帐号vip987@mailer.cn, test@mail.cn

vip987@mailer.cn给用户test@mail.cn发送如下Email内容:

11.png



=================================

一定要注意这一步:

先不要填写收件人,点击发送按钮,系统会提示让你输入收件人

然后再填写收件人,再次发送邮件,成功发送

如果不经过上一步,直接发送邮件时,是不存在xss的。

==================================

来看看test@mail.cn用户收到的Email时:

12.png



test@mail.cn打开Email查看时就被劫持了。

第四处XSS

在发送邮件时,添加签名,签名处存在存储型XSS,可劫持账户。

官方demo:http://mail.mailer.cn/

官方测试帐号vip987@mailer.cn, test@mail.cn

首先我们来添加个人签名:

13.png



并设置wie默认签名

然后vip987@mailer.cn给用户test@mail.cn发送如下Email内容:

发邮件时,默认会使用我们的签名

14.png



来看看test@mail.cn用户收到的Email时:

15.png



test@mail.cn打开Email查看时就被劫持了。



第三处漏洞:越权操作删除任意用户文件

在此邮件系统有网盘文件,任意用户可创建文件夹及上传文件。

在网盘文件描述中:只有用户自己创建的文件夹和文件才有删除的权限。

这里存在漏洞,任意用户可以删除其他用户的文件及文件夹,包括管理员的文件。

首先vip987@mail.cn新建一个文件夹:

8.png



vip987@mail.cn有删除权限如图。

删除该文件的连接为:http://mail.mailer.cn/jdwm/cgi/file_disk.cgi?0+0+0++unlink=007

然后登录另外一个用户test@mail.cn,可以看到vip987的文件夹及文件内容。

但是没有删除的权限,如图所示,没有删除的连接:

9.png



然后test@mail.cn用户访问删除vip987文件的连接:

http://mail.mailer.cn/jdwm/cgi/file_disk.cgi?0+0+0++unlink=007

这样就可删除vip987@mail.cn用户创建的文件夹。

最后登录用户vip987@mail.cn查看网盘内容:

10.png



文件夹vip987已经被删除了。

同理可删除管理员等任意用户的文件夹及文件内容。

漏洞证明:

见详细说明

修复方案:

过滤,加强验证

知识来源: www.wooyun.org/bugs/wooyun-2014-059635

阅读:90488 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“某邮件系统多处安全漏洞打包(任意账户劫持等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云