WooYun.org

Umail邮件系统多为政府部门在使用，安全检查了一次，发现存在后门漏洞，实现劫持帐号。
测试网站：http://mail.jxgzw.gov.cn/webmail/
测试帐号"1"：[email protected]
测试帐号"2"：[email protected]
首先登录测试帐号"1"：此处只做友情测试，里面信件没做变动。登录测试帐号"1"之后，点击"选项"-->"个人资料"，在里面"中文名"输入框里面填写后门代码：1111<title><img src="</title><img src=x onerror=alert(2)//">，后保存，如图：

之后选择写信，给测试帐号"2"，写一封信件，登录测试帐号"2"，打开信件后，点击"回复" 或者点击"回复所有" 或者点击"转发"都可以实现xss弹框效果，如图：

但是这个距离我们要的劫持还有差距，我们关掉这封信，重新来写一封信，我们点击"写信"按钮，此时亮点出现如图(下图中的发件人处的代码是仿照上面继续埋的后门)：

也就是说，我们无论给谁发信，当我们点击"写信"按钮的时候就能触发xss漏洞，从而实现对对测试帐号"2"的劫持，从而将测试帐号"2"的cookie信息回传到攻击者的后台。
因为只是进行劫持测试，故对埋设的后门代码不做隐藏化处理，具体利用的回传cookie的js代码只需要在onerror事件后面添加上即可，安全起见，这里不做编写。