当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120944

漏洞标题:新网某漏洞可导致劫持任意域名

相关厂商:新网华通信息技术有限公司

漏洞作者: 鸟云厂商

提交时间:2015-06-16 19:12

修复时间:2015-08-01 09:38

公开时间:2015-08-01 09:38

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-17: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向核心白帽子及相关领域专家公开
2015-07-07: 细节向普通白帽子公开
2015-07-17: 细节向实习白帽子公开
2015-08-01: 细节向公众公开

简要描述:

我只想说,新网我们还能不能好好做朋友了?

详细说明:

在测一个漏洞,由于数据有点多所以读取得慢。
于是顺手打开了新网的邮箱登陆界面
http://webmail.xinnet.com
右上角有个“【重要通知】系统升级后点击查看注意事项”

EC02FE26-7545-4E9B-A9F4-61D018E63792.png


顺手点了,看看能不能有什么打码不注意的地方
找一圈发现没啥
但是有一段是介绍企业邮箱超管功能的
截图显示演示账户是xinnet@xinnet.asia

clip_image013 (1).jpg


来到http://webmail.xinnet.asia/
尝试登录xinnet@xinnet.asia
第一次就试出密码是xinnet123
确实是管理员账号

71A49D67-4A1B-4F62-8294-B0FD6738A4D4.png


进入管理员界面
http://webmail.xinnet.asia/app/eadmin/msetnav
这里发现了一个功能:添加用户。由于企业邮箱设计的特性,这个功能我会很注意。之前也看过其他的邮件系统都不存在问题。但是新网,跪了。
添加用户,把“企业管理员”的选框打钩
提交,抓包

DD085D55-A88E-4313-9D20-977F2F91ACA0.png


POST /app/eadmin/user/user_add HTTP/1.1
Host: webmail.xinnet.com
Proxy-Connection: keep-alive
Content-Length: 615
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://webmail.xinnet.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://webmail.xinnet.com/app/eadmin/user/user_preadd?method=preAddUser&domainname=xinnet.asia&orgId=
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: ***mask***
usernameLast=wooyun&usernameFirst=wooyun&userid=wooyun&domainname=xinnet.asia&adminPermission=1&corporganizationname=%E6%96%B0%E7%BD%91%E4%BA%91%E9%82%AE%E6%B5%8B%E8%AF%95&corporganizationiid=&oldcorporganizationiid=&newPassword=*******&mailforever=1&homeemailaddress=&homewebpage=&msn=&qq=&mobilephone=&otherphone=&companyname=&officestreet=&officepostalcode=&duty=&workphone=&workfaxnumber=&workemailaddress=&businesswebpage=&selectmail=1&userquota=365&pop=1&imap=1&stmp=1&webmail=1&maxrcptnum=50&maxmessagesize=50&maxattachsize=50&selectfilemanage=1&networkspace=50&filemanageforever=1&userAliases=&ipaddress=


这里很关键,把domainname=xinnet.asia改成xinnet.com
提示添加成功,
来到http://webmail.xinnet.com尝试登录
擦咧,成功了。
可以看到,确实是超管权限。
进入管理页面
这之间我在新网注册了账号,并模拟密码找回流程
发现最后给我们发新密码的是:xinnet@xinnet.com
来重置这个邮箱的密码
重置为Wooyun9080@
登录邮箱,看“已发送”

屏幕快照 2015-06-16 下午6.41.14.png


每页10封邮件,共137429页,也就是上百万封邮件。
现在在加载中,我的Chrome已经开始卡顿了。。。。。
电脑配置低,网络差。没办法完整看到列表了。。。
下图证明这个邮箱确实是发送密码的

90220077-B742-428B-A4FB-676F9B042DC9.png


漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-17 09:36

厂商回复:

非常感谢路人甲@乌云,小新正在玩命确认及修复中

最新状态:

2015-06-18:漏洞已修复,非常感谢鸟云厂商@乌云

漏洞评价:

评论

  1. 2015-06-16 19:13 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    标题短影响大啊

  2. 2015-06-16 19:15 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    要送$$$了

  3. 2015-06-16 19:15 | 苏州同程旅游网络科技有限公司(乌云厂商)

    @疯狗 简单说就是“短小精干”

  4. 2015-06-16 19:16 | 紫霞仙子 ( 普通白帽子 | Rank:2027 漏洞数:279 | 天天向上 !!!)

    @疯狗 狗哥,你又在前排吊胃口。

  5. 2015-06-16 19:16 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    上错号了 /(ㄒoㄒ)/~~

  6. 2015-06-16 19:17 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    屌屌的 短小精悍!!

  7. 2015-06-16 19:17 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    该漏洞进行互联网高危影响奖励流程,大奖(影响忒大了)

  8. 2015-06-16 19:19 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    3个$,围观土豪

  9. 2015-06-16 19:19 | ConTrol ( 普通白帽子 | Rank:135 漏洞数:43 | 【HD】以团队之名 以个人之荣耀 共建网...)

    能劫持乌云么????

  10. 2015-06-16 19:20 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    我去

  11. 2015-06-16 19:20 | 咸鱼翻身 ( 普通白帽子 | Rank:576 漏洞数:108 )

    屌屌屌屌

  12. 2015-06-16 19:21 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @ConTrol 乌云万网,想当年被劫持的那个漏洞也没三个$

  13. 2015-06-16 19:21 | 炊烟 ( 普通白帽子 | Rank:238 漏洞数:44 | 每一天都需要努力。)

    叼叼叼

  14. 2015-06-16 19:22 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    打雷了,下雨了。

  15. 2015-06-16 19:22 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    吊炸天

  16. 2015-06-16 19:27 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)

    吊炸天

  17. 2015-06-16 19:28 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    不会是某接口对外导致的吧?

  18. 2015-06-16 19:31 | 姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)

    什么漏洞,这么吊~

  19. 2015-06-16 19:33 | 姗姗来迟 ( 普通白帽子 | Rank:297 漏洞数:72 | coffeesafe的小号)

    WooYun: 国内众多IDC网站通用漏洞可任意劫持国内的域名!(大多数) 难道是这个?

  20. 2015-06-16 19:33 | 晏子 ( 路人 | Rank:6 漏洞数:4 | 无)

    3个$,围观土豪

  21. 2015-06-16 19:35 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    niubility

  22. 2015-06-16 19:36 | ConTrol ( 普通白帽子 | Rank:135 漏洞数:43 | 【HD】以团队之名 以个人之荣耀 共建网...)

    这个多少钱????

  23. 2015-06-16 19:42 | 嗯哼! ( 路人 | Rank:0 漏洞数:2 | 人才有点二!)

    围观思路,默默关注,膜拜大神,屌丝变土豪!!!

  24. 2015-06-16 19:47 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  25. 2015-06-16 19:52 | 侦探911 ( 普通白帽子 | Rank:133 漏洞数:21 | 学习)

    666火速围观

  26. 2015-06-16 19:55 | 红糖哥 ( 实习白帽子 | Rank:70 漏洞数:8 | 红糖暖胃不暖逼)

    这方法太暴力了。全部沦陷啊

  27. 2015-06-16 20:31 | 机器猫 ( 普通白帽子 | Rank:1141 漏洞数:253 | 爱生活、爱腾讯、爱网络!)

    碉堡了!

  28. 2015-06-16 20:40 | zhxs ( 实习白帽子 | Rank:32 漏洞数:19 | Jyhack-TeaM:http://bbs.jyhack.com/)

    我已经通知你家里了、

  29. 2015-06-16 20:59 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    屌屌屌屌

  30. 2015-06-16 21:03 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    mark

  31. 2015-06-16 21:07 | backtrack丶yao ( 普通白帽子 | Rank:290 漏洞数:107 | "><img src=x onerror=alert(666666);> <im...)

    后排

  32. 2015-06-16 21:22 | Sevck ( 路人 | Rank:2 漏洞数:2 | 一个乌云RANK为0的脚本小子)

    吊。。

  33. 2015-06-16 21:29 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    突然想到,这个要是不提交,然后乌云众测的时候发洞,那岂不是爽死了

  34. 2015-06-16 21:37 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    浓缩的才是精华

  35. 2015-06-16 21:44 | Comer ( 普通白帽子 | Rank:336 漏洞数:40 | 关注安全 | 关注智能漏洞挖掘)

    没有狗哥前排吊胃口的洞不是好洞。围观。

  36. 2015-06-16 22:07 | 孤零落叶寒 ( 普通白帽子 | Rank:162 漏洞数:26 | 今天的跌倒是是为了明天更好的站着)

    围观,等结果

  37. 2015-06-16 22:16 | 泪雨无魂 ( 实习白帽子 | Rank:94 漏洞数:32 )

    6666 坐等结果

  38. 2015-06-16 22:28 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    mark

  39. 2015-06-16 22:50 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    神器的路人甲。。。。

  40. 2015-06-16 22:58 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @疯狗 我也要S,哼

  41. 2015-06-16 23:08 | 小夜 ( 路人 | Rank:15 漏洞数:8 | 漫长的日子)

    不错 哈哈哈

  42. 2015-06-16 23:09 | hope ( 路人 | Rank:1 漏洞数:2 | 一个小菜)

    好厉害

  43. 2015-06-16 23:28 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    求透露~~

  44. 2015-06-16 23:34 | JGHOOluwa ( 普通白帽子 | Rank:206 漏洞数:32 | 就是来看看大牛们如何超神的^-^)

    会不会上电视,赶紧抢个位置2333

  45. 2015-06-16 23:37 | 椰子比尔 ( 路人 | Rank:0 漏洞数:1 | 安全任重道远!!!)

    吊炸天呀

  46. 2015-06-16 23:51 | anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老,学到老)

    66666

  47. 2015-06-16 23:58 | Zephyrus ( 路人 | Rank:14 漏洞数:7 | 静心学习)

    后排占个位置

  48. 2015-06-17 00:29 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    土豪求包养

  49. 2015-06-17 01:42 | 黑名单 ( 实习白帽子 | Rank:60 漏洞数:13 | 像个傻瓜似的,为什么。)

    占个楼 露个脸。希望大神们别打我

  50. 2015-06-17 07:46 | Herolon ( 普通白帽子 | Rank:185 漏洞数:42 | ******)

    新网的域名 注册量太多 影响真的很大

  51. 2015-06-17 07:59 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    快现身吧@殺器王子

  52. 2015-06-17 08:07 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    打雷要下雨

  53. 2015-06-17 08:53 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    这么火的贴我一定要站一楼,大声招唤楼下逗比

  54. 2015-06-17 09:00 | 小不点 ( 普通白帽子 | Rank:751 漏洞数:78 | 生命不息,刷洞不止.....)

    为什么你们都能看到漏洞呢?

  55. 2015-06-17 09:08 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    我靠吓尿了

  56. 2015-06-17 09:17 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    @px1624 你是有多缺钱啊?

  57. 2015-06-17 09:19 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    残暴

  58. 2015-06-17 09:29 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    @齐迹 他说女朋友不够用 ,打算买50个一次性

  59. 2015-06-17 09:59 | 大漠長河 ( 实习白帽子 | Rank:43 漏洞数:7 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区欢迎您...)

    @浩天 果然打雷下雨 掉美刀 这个影响 太大了

  60. 2015-06-17 10:31 | her0ma ( 核心白帽子 | Rank:598 漏洞数:84 | 专注小厂商三十年!)

    师傅太霸气了,膜拜!

  61. 2015-06-17 10:48 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    为何那么牛

  62. 2015-06-17 13:32 | D_in ( 普通白帽子 | Rank:413 漏洞数:62 | 到我嘴里来)

    最近不太平啊,都打雷下雨了

  63. 2015-06-17 17:59 | hh2014 ( 普通白帽子 | Rank:225 漏洞数:39 | 继续)

    膜拜

  64. 2015-07-09 20:36 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

    提醒:级别足够但是无法查看 Rank 高于自己的白帽子漏洞

  65. 2015-07-09 20:42 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    @番茄师傅 欢迎提前查看

  66. 2015-07-09 22:13 | phith0n 认证白帽子 ( 核心白帽子 | Rank:656 漏洞数:107 | 一个想当文人的黑客~)

    这个屌!后台漏洞有时候很致命呀,我都遇到好多次了!!

  67. 2015-08-03 10:03 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    擒贼先擒王!