当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02915

漏洞标题:微信暴QQ密码

相关厂商:腾讯

漏洞作者: Micro Da

提交时间:2011-10-01 13:52

修复时间:2011-10-01 17:46

公开时间:2011-10-01 17:46

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-10-01: 细节已通知厂商并且等待厂商处理中
2011-10-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

QQ微信暴QQ密码。。。先扯蛋下。。由于昨天才从长沙回。。今天回到家,就一个字爽。。所以今天心情非常的好。。就说一下上个星期发现微信可以暴QQ密码。。由于买了个手机。所以蛋疼的下了个微信。。结果玩着玩着。。发现了oday。。下面开始说说怎么搞吧。。。
第一:首先用数据线连接到你手机上。然后打开你的e盘。。就是你安装微信在那个盘里。。我是安装在e盘。
第二 :在e盘找到MM文件夹。(这个MM是微信安装目录)然后你打开MM文件夹。。你会发现很有用的东西。。那就是global.cfg这个文件。(其实这个文件是记录微信登入的信息)接着用记事本打开吧。。。
你会发现AutoLogonAccount和AutoLogonPassword(AutoLogonAccount是登入账号信息。注:如果你用QQ号直接登入。它AutoLogonAccount里面记录的是你QQ的马甲。如果注册微信号记录的是微信账号)。AutoLogonPassword记录的是登入密码。加密方式md532位加密字符。
有人会问。如果你用QQ直接登入微信。那你怎么找到他QQ号。。不急不急。。慢慢来。。
你在MM文件夹里会发现你自己登入的信息。文件夹下会有一个Account.cfg文件。。用事本打开看。。你会发现里面有Email和QQ账号。。后面的自己发现吧。。

漏洞证明:

修复方案:

版权声明:转载请注明来源 Micro Da@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-10-01 17:46

厂商回复:

添加对漏洞的补充说明以及做出评价的理由

漏洞Rank:6 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2011-10-02 18:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    大企鹅这都不管?

  2. 2012-01-24 09:14 | knife ( 普通白帽子 | Rank:155 漏洞数:24 | 抬枪上御女,提臀迎众基。)

    哈哈,某些人可以批量搞密码了。。

  3. 2012-01-28 13:47 | Micro Da ( 实习白帽子 | Rank:66 漏洞数:7 | Micro Da)

    嘿嘿 上楼你就是那些某些人里的吧。。

  4. 2012-02-02 13:10 | 蚊虫 ( 实习白帽子 | Rank:36 漏洞数:12 | 我装逼这么牛可还是没妞喜欢我)

    1.2楼都是没妞喜欢的娃..

  5. 2012-02-04 18:50 | 丶小蓝丶 ( 路人 | Rank:3 漏洞数:1 | 小白)

    貌似搞QQ密码没啥用处吧~

  6. 2012-02-13 13:05 | baifeng ( 路人 | Rank:0 漏洞数:1 | 做人如果没有梦想,那和咸鱼有什么区别!)

    只能搞到本机的啊。

  7. 2012-02-25 00:41 | wormcy ( 路人 | Rank:19 漏洞数:3 | 扒洞 球变身.)

    这也忽略~ 神奇

  8. 2012-03-09 13:41 | X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)

    @baifeng 手机病毒呢?感染后搜索这个文件,然后以某种方式传送给病毒作者~~盗号就这么简单~连监控都不用了~

  9. 2012-03-21 09:29 | 李帝豪 ( 路人 | Rank:0 漏洞数:1 | 这个家伙很懒不想介绍)

    盗号还是去搞个网站后台比较实在,注册的时候要求用QQ邮箱,密码不能为弱密码,然后上数据库查用户的****直接用用户在网站的密码登录他的QQ......................

  10. 2012-03-21 10:39 | Micro Da ( 实习白帽子 | Rank:66 漏洞数:7 | Micro Da)

    @李帝豪 。擦。。。。你想笑死我???

  11. 2012-03-23 23:13 | 李帝豪 ( 路人 | Rank:0 漏洞数:1 | 这个家伙很懒不想介绍)

    @Micro Da 这个有什么好笑的,其实很多人密码都一样,QQ密码能开支付宝也很正常

  12. 2012-03-24 11:27 | Micro Da ( 实习白帽子 | Rank:66 漏洞数:7 | Micro Da)

    @李帝豪 。。。对你没话说。。我OUT了。。

  13. 2012-04-05 22:50 | Pentos ( 路人 | Rank:24 漏洞数:8 | 来潜水学习的!^^)

    @Micro Da 社会工程学范畴了,哈哈。。

  14. 2012-04-06 08:29 | Micro Da ( 实习白帽子 | Rank:66 漏洞数:7 | Micro Da)

    @Pentos 呵呵。。那个李帝豪说话真搞笑。。

  15. 2012-04-06 13:17 | 李帝豪 ( 路人 | Rank:0 漏洞数:1 | 这个家伙很懒不想介绍)

    @Pentos 我的意思是本机的文件不好搞,社工比较简单,我的本意是交流不是要搞笑

  16. 2012-04-14 00:44 | 菜菜来报道 ( 路人 | Rank:19 漏洞数:4 | 小事做起,一点一滴,终成洪流)

    其实一直在想要从手机和平板等平台获得企鹅密码,qq windows平台的安全性做的很好,但是手机和平板估计要弱一些,手机装了恶意软件,再上传上述文件,就悲剧了

  17. 2012-04-14 00:46 | 菜菜来报道 ( 路人 | Rank:19 漏洞数:4 | 小事做起,一点一滴,终成洪流)

    @李帝豪 其实现在很多经常上网的人的qq密码都是独立密码的,只有那些小白才公用一个密码,小白的q偷来何用

  18. 2012-04-21 23:31 | Dreama ( 路人 | Rank:10 漏洞数:1 | 狂心顿歇,歇即菩提)

    天朝是个神奇的国度,钱多人傻的例子还是不少的

  19. 2012-05-10 18:17 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    oday是什么?还有就是一个应用程序需要记住密码,肯定得在本机存储一些数据吧?

  20. 2012-05-24 22:21 | g0t3n ( 路人 | Rank:0 漏洞数:1 | 开源爱好者.. *nix 安全爱好者... =..=..)

    这样可以骗个妹子去用自己手机登陆扣扣,然后就可以骗他被盗了,然后进一步发展XXOO(省略2k字)

  21. 2012-08-25 11:48 | 九零 ( 路人 | Rank:5 漏洞数:1 | http://www.90blog.org)

    把自己手机给别人登录QQ。不过知道的都是熟人~~

  22. 2012-08-27 12:56 | X-Secure ( 路人 | Rank:6 漏洞数:2 | 扭啊扭啊扭~~~)

    @g0t3n 又找到了微信约炮的新玩法了么……

  23. 2012-09-08 23:33 | 96° ( 路人 | Rank:6 漏洞数:3 | 一个人默默的努力着,)

    表示没多大用处,你会拿别人手机收微信么,?要么你来个手机蠕虫把,

  24. 2012-09-11 13:18 | 無情 ( 实习白帽子 | Rank:41 漏洞数:5 | 根据相关法律法规和政策,此信息未予显示。)

    问题在于,涉及什么版本平台,,, 而且现在貌似无此漏洞了

  25. 2012-11-29 13:39 | Smile ( 路人 | 还没有发布任何漏洞 | 目前就职于XXX)

    挖漏洞精神,无止境啊,支持。

  26. 2012-11-29 14:04 | Micro Da ( 实习白帽子 | Rank:66 漏洞数:7 | Micro Da)

    @Smile 这玩意还关注???去年的了。。。

  27. 2013-01-06 14:43 | 八神庵 ( 路人 | Rank:0 漏洞数:2 | 无职业,DIAO丝?我擦)

    结合手机病毒还是有点作用的

  28. 2013-04-09 20:16 | Mr.酒酒 ( 路人 | Rank:20 漏洞数:1 | 注入就像强心针)

    如果想批量确实困难,实现的话只能是两种方式。PC机自动扫描可移动磁盘判断是否手机内存。比如安卓系统用过的卡就很容易判断出来(.android)。然后获取文件发回,但是这等于守株待兔。如果直接开发安卓系统下的木马文件要更现实。

  29. 2013-05-26 22:54 | 帕秋莉 ( 路人 | Rank:8 漏洞数:2 | 私はあなたを杀す wwwwww)

    @菜菜来报道 这个还是不一定.. 比如某f4ck的葙守大牛就曾经中枪.

  30. 2013-06-04 22:16 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    。。。。凑个热闹