WinMail邮件系统存储型xss漏洞打包过滤规则形同虚设

文章目录

漏洞作者:

路人甲

详细说明:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体…..,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。

xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src=”</style><img src=x onerror=alert(1)//”>,然后打开信件点击回复,即可触发,效果如下图:

191512150b9b7fc5b23c7d2bb9b30d1018704daa[1]

当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码

<img src=# style=”display:none” onerror=alert(0)>,发送抓发,如图:

191516529a8063aa5a6390b50d83c009cb415620[1]

,分析发现'<‘括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D”display:none” onerror=3Dalert(0)>,发信,打开信,弹框如下:

191527143c78e5c0ec263f776132d12acf65d6b7[1]

抓包结果展示如下:

191528243fbe7229f6869d15aa809a6482d692e1[1]

至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。

漏洞证明:

WinMail邮件系统是公司企业、大专院校、中小学校、集团组织、政府部门的企业邮局系统架设软件。它的典型客户涵盖了政府机关、政府信息中心、税务机关、军队公安武警、法院,检察院系统、监狱系统、事业单位、新闻报社、电视媒体…..,总之使用单位相当多,但是它出xss了,并且简单绕过,使其过滤规则形同虚设,从而xss满屏跑。

xss漏洞一:不需要绕过就能触发型,方式,在邮件标题处写上测试代码<style><img src=”</style><img src=x onerror=alert(1)//”>,然后打开信件点击回复,即可触发,效果如下图:

191512150b9b7fc5b23c7d2bb9b30d1018704daa[1]

当然仅仅是这个层次的xss,我们是无法满意的,一不够隐蔽;二不够直接,我们的要求是打开就弹。下来我们对邮箱富文本区域进行测试,测试代码

<img src=# style=”display:none” onerror=alert(0)>,发送抓发,如图:

191516529a8063aa5a6390b50d83c009cb415620[1]

,分析发现'<‘括号存在,onerror存在(多了个双引号),style存在,不存在的有等号以及等号后面紧跟的一个字母,根据几年研究邮箱xss漏洞的经验,该处只要使用3D即可击垮该富文本区域的过滤机制,重新修改测试代码为<img src=3D# style=3D”display:none” onerror=3Dalert(0)>,发信,打开信,弹框如下:

191527143c78e5c0ec263f776132d12acf65d6b7[1]

抓包结果展示如下:

191528243fbe7229f6869d15aa809a6482d692e1[1]

至于其他的测试代码,只需要仿照上面处理下等号,即可随意实现xss。

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录