Coremail手机版页面持久型XSS实践

0x00 前言

学校的邮箱是号称7亿用户都在用的Coremail邮箱系统．
利用这个漏洞，我们可以在一些条件下直接进入邮箱．

这个持久型XSS是王欢学长在上个暑假发现的，欢哥喜欢从小鸭子们身上收获编程的灵感，偷偷的告诉大家他的微信号：qqwanghuan

0x01 描述

当我们使用手机访问mail.bjtu.edu.cn登录时，会跳转到手机版的登录界面．

0x02 详情

这个XSS发生的位置就是＂发件人＂的位置，没有过滤．

我们构造一段有攻击性的代码:

]));123”’ /span><=\u003c\u003e;\u003c\u003e=>cdxy

打开我的阿里云邮，把这段代码写到我的＂发件人＂字段里．像下面这样：

保存之后，向我的校邮箱发送一封邮件，内容不需要写：

当用户使用手机登录校邮箱时，网页会加载我们之前填写的＂联系人＂字段，并把这部分代码当作javascript代码执行，代码成功让浏览器弹窗，打出了用户的cookies（用户的登录凭证，有了这个就可以直接进入你登录后的邮箱）

0x03 证明

如果要利用这个漏洞拿下邮箱的话，单弹一个窗是不行的．
修改了＂发送人＂字段的代码，连接XSS平台，向目标再次发送了一封邮件．

目标使用手机打开邮件时，看到邮件几乎没有任何异样．
其实代码已经运行了，我的平台已经收到了它的登录凭证．

接受到的信息如下．

利用这些信息就能直接进入其邮箱，结果如下图：

注：该漏洞已提交相关平台处理．作者不对任何形式的漏洞利用提供技术支持和答复．