看我如何进入你的校邮箱

0x00 前言

学校的邮箱是号称7亿用户都在用的Coremail邮箱系统．

利用这个漏洞，我们可以在一些条件下直接进入你的校邮箱．

这个持久型XSS是王欢学长在上个暑假发现的，欢哥喜欢从小鸭子们身上收获编程的灵感，偷偷的告诉大家他的微信号：qqwanghuan

0x01 描述

当我们使用手机访问mail.bjtu.edu.cn登录时，会跳转到手机版的登录界面．

为了给手机用户更好的体验，这个界面与我们平常使用电脑的界面不太一样．

然后输入你的学号和密码就可以登录邮箱了．

0x02 详情

这个XSS发生的位置就是＂发件人＂的位置，没有过滤．

我们构造一段有攻击性的代码:

]));123"' /span><=u003cu003e;<img src=x onerror='alert(document.cookie)'/>u003cu003e=>cdxy

打开我的阿里云邮，把这段代码写到我的＂发件人＂字段里．像下面这样：

保存之后，向我的校邮箱发送一封邮件，内容不需要写：

这样子攻击完毕．

当用户使用手机登录校邮箱时，网页会加载我们之前填写的＂联系人＂字段，并把这部分代码当作javascript代码执行，代码成功让浏览器弹窗，打出了用户的cookies（用户的登录凭证，有了这个就可以直接进入你登录后的邮箱）

0x03 证明

如果要利用这个漏洞拿下邮箱的话，单弹一个窗是不行的．

我修改了＂发送人＂字段的代码，连接我的XSS平台，向目标再次发送了一封邮件．

目标使用手机打开邮件时，看到是这个样子的，几乎没有任何异样．

其实代码已经运行了，我的平台已经收到了它的登录凭证．

接受到的信息如下．

利用这些信息就能直接进入其邮箱，结果如下图：

注：本次测试使用我自己的邮箱，考虑到大家安全需要隐藏了一些操作细节．该漏洞已提交相关平台处理．作者不对任何形式的漏洞利用提供技术支持和答复．

最后祝大家赶紧把默认的身份证后六位的密码换掉

原文始发于微信公众号（乐枕迭代日志）：看我如何进入你的校邮箱