WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

没穿底裤 2020年1月1日03:35:46评论1,883 views字数 1240阅读4分8秒阅读模式
摘要

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。


漏洞作者:

路人甲

详细说明:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。

xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src="</style><img src=x onerror=alert(1)//">,然后打开信件点击回复,即可触发,效果如下图:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码

<img src=# style="display:none" onerror=alert(0)>,发送抓发,如图:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

,分析发现'<'括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D"display:none" onerror=3Dalert(0)>,发信,打开信,弹框如下:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

抓包结果展示如下:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。

漏洞证明:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体.....,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。

xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src="</style><img src=x onerror=alert(1)//">,然后打开信件点击回复,即可触发,效果如下图:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码

<img src=# style="display:none" onerror=alert(0)>,发送抓发,如图:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

,分析发现'<'括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D"display:none" onerror=3Dalert(0)>,发信,打开信,弹框如下:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

抓包结果展示如下:

WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2020年1月1日03:35:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设http://cn-sec.com/archives/76127.html

发表评论

匿名网友 填写信息