Coremail手机版页面持久型XSS实践

0x00 前言

学校的邮箱是号称7亿用户都在用的Coremail邮箱系统.
利用这个漏洞,我们可以在一些条件下直接进入邮箱.

这个持久型XSS是王欢学长在上个暑假发现的,欢哥喜欢从小鸭子们身上收获编程的灵感,偷偷的告诉大家他的微信号:qqwanghuan

0x01 描述

当我们使用手机访问mail.bjtu.edu.cn登录时,会跳转到手机版的登录界面.

Coremail手机版页面持久型XSS实践_第1张图片

0x02 详情

这个XSS发生的位置就是"发件人"的位置,没有过滤.

我们构造一段有攻击性的代码:

]));123”’ /span><=\u003c\u003e;\u003c\u003e=>cdxy

打开我的阿里云邮,把这段代码写到我的"发件人"字段里.像下面这样:

Coremail手机版页面持久型XSS实践_第2张图片

保存之后,向我的校邮箱发送一封邮件,内容不需要写:

Coremail手机版页面持久型XSS实践_第3张图片

当用户使用手机登录校邮箱时,网页会加载我们之前填写的"联系人"字段,并把这部分代码当作javascript代码执行,代码成功让浏览器弹窗,打出了用户的cookies(用户的登录凭证,有了这个就可以直接进入你登录后的邮箱)

Coremail手机版页面持久型XSS实践_第4张图片

0x03 证明

如果要利用这个漏洞拿下邮箱的话,单弹一个窗是不行的.
修改了"发送人"字段的代码,连接XSS平台,向目标再次发送了一封邮件.

目标使用手机打开邮件时,看到邮件几乎没有任何异样.
其实代码已经运行了,我的平台已经收到了它的登录凭证.

Coremail手机版页面持久型XSS实践_第5张图片

接受到的信息如下.

Coremail手机版页面持久型XSS实践_第6张图片

利用这些信息就能直接进入其邮箱,结果如下图:

Coremail手机版页面持久型XSS实践_第7张图片

注:该漏洞已提交相关平台处理.作者不对任何形式的漏洞利用提供技术支持和答复.

你可能感兴趣的:(渗透测试)