当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02609

漏洞标题:腾讯3个鸡肋漏洞组合的利用

相关厂商:腾讯

漏洞作者: only_guest

提交时间:2011-08-02 01:13

修复时间:2011-09-01 01:14

公开时间:2011-09-01 01:14

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-08-02: 细节已通知厂商并且等待厂商处理中
2011-08-02: 厂商已经确认,细节仅向厂商公开
2011-08-12: 细节向核心白帽子及相关领域专家公开
2011-08-22: 细节向普通白帽子公开
2011-09-01: 细节向实习白帽子公开
2011-09-01: 细节向公众公开

简要描述:

权限绕过+跨站+服务端未验证=一夜之间4亿用户的悲剧

详细说明:

先登陆
http://faxin.soso.com/
有cookie后打开下面的页面
http://faxin.soso.com/_JSON_Page_User_Getgold.php?method=sendInvite&parameters=%5B%225447055%22%5D
中间%5B%225447055%22%5D里面的5447055是要发送的QQ号
随意设置,可以发送给任何人,但是系统中写的是邀请好友,但这里可以发给仍何人
打开页面显示true则为发送成功`对方电脑界面会显示一个QQ系统消息,提示好友邀请参加发薪计划.
所以造成了第一个权限绕过


之后就是我发现打开那个消息之后,加载的网页中会调用邀请人的QQ名称,我就使用QQ那个页面的一个H3的标签作为我的QQ姓名试了一下,发现果然存在跨站,而QQ的名称最长限制字符是24个字符,所以刚好够用<iframe>来做跨站,我就测试了下,可以成功,但是限制太大,因为只能24个字符,太短了.
但是这里跨站已经成功了,所以是第二个漏洞,跨站
之后为了突破QQ名字长度限制,就去抓了WEBqq的包,发现果然可以改长度,轻松达到30位以上,虽然QQ名称显示是24位,但其实已经有30多位了,在上面的跨站调用中成功.
第三个漏洞,服务端没有做长度的二次验证.


我做了小范围测试,我8M的带宽,限制每秒2000次提交,一小时近千万的发送量.
如果我换台高性能服务器呢?带宽在大点呢?
我们来算个简单数学题,跨站中挂个弹窗代码,我发送1亿用户,2千万点开了这个消息.
1000IP=5元
那么我就轻松有10万的收益了...
也许数据是理想值,但是如果挂的不是弹窗,是一个诱导下载呢?
你们自己算哦..
发现这漏洞后没有公布出去,也没有做任何利用,就立即提交了,希望能帮我们小组的几个人认证下腾讯微搏,提交了很多次了, 也没被通过.谢谢了.

漏洞证明:

http://faxin.soso.com/_JSON_Page_User_Getgold.php?method=sendInvite&parameters=%5B%225447055%22%5D

修复方案:

你们最专业了..

版权声明:转载请注明来源 only_guest@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2011-08-02 09:24

厂商回复:

thx

最新状态:

暂无

漏洞评价:

评论

  1. 2011-08-02 09:44 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    ...额,确认了.能帮我认证下微搏么?没门路啊..

  2. 2011-08-02 16:51 | youstar ( 实习白帽子 | Rank:34 漏洞数:8 | 我们人啊~)

    支持,看码

  3. 2011-09-02 01:10 | 帅气凌云 ( 普通白帽子 | Rank:314 漏洞数:60 | 弱点扫描{Www.VulScan.CN} 为网站健康检查...)

    这个可以

  4. 2011-09-02 07:43 | 但丁 ( 路人 | 还没有发布任何漏洞 | 比較懶 沒什麽好介紹的)

    干嘛不留着呀....

  5. 2011-09-02 23:13 | Sogili ( 普通白帽子 | Rank:129 漏洞数:27 )

    很V5

  6. 2011-09-03 19:26 | 饮恨 ( 实习白帽子 | Rank:38 漏洞数:6 | 既然选择了远方就必须日夜兼程)

    这个可以把QQ当成后门来用的说。。。

  7. 2011-10-21 11:39 | 风云 ( 路人 | 还没有发布任何漏洞 | 简要介绍)

    好牛比

  8. 2011-11-22 18:24 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    这个蛮经典的。

  9. 2011-11-23 20:47 | WebSPRing ( 普通白帽子 | Rank:176 漏洞数:18 | Focus on Web Security (wspringox@gmail.c...)

    来学习了。

  10. 2012-01-21 08:49 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    经典案例,mark之

  11. 2012-04-30 12:50 | Say ( 路人 | Rank:17 漏洞数:4 | 谁又会鉴定谁正常?)

    这个威武 = = 我发现TC不少xss啊

  12. 2012-06-07 14:02 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @gainover 你那个礼物的要是没有次数限制的话,貌似杀伤力比这个还厉害啊。