官方网站:http://www.turbomail.org/
TurboMail邮箱系统安装后 默认会有4个root域的账号,管理员及三个普通账号:
postmaster管理员
nobody
sec_bm
sec_sj
密码都为空,官方说明文档会提醒用户修改postmaster密码,但99%都忽略了另外三个普通账号,因为它们显示的权限为普通用户,这里给使用者们一个误导。
这里虽然显示为普通账号,却具有【管理用户】的权限,而此处还存在一个设计缺陷,能看到任意用户的密码,包括管理员。
当点击用户进入管理页面时,服务器会返回用户的密码信息。
这里的密码为base64加密,如果后面有字符“3D”,需删掉再进行解密。
我们以官方为例测试一下:
如此,想进那个邮箱进哪个邮箱,邮箱里一般都有很多敏感信息的,或涉及商业、或涉及运维信息等等
华数,这位是躺枪的:
影响的用户很多:
举几个栗子:
