当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013530

漏洞标题:PKAV腾讯专场 - 2. 腾讯产品交流平台的一个js文件泄漏了一个url之后

相关厂商:腾讯

漏洞作者: gainover

提交时间:2012-10-18 19:50

修复时间:2012-12-02 19:51

公开时间:2012-12-02 19:51

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-18: 细节已通知厂商并且等待厂商处理中
2012-10-19: 厂商已经确认,细节仅向厂商公开
2012-10-29: 细节向核心白帽子及相关领域专家公开
2012-11-08: 细节向普通白帽子公开
2012-11-18: 细节向实习白帽子公开
2012-12-02: 细节向公众公开

简要描述:

一点小的信息泄漏,也可能带来严重的问题哦。 本文从腾讯的一个js文件里的一个url开始!
漏洞成因会同步至:pkav.net (待腾讯完全修复后并确认不会带来后续影响时公开 :) )

详细说明:

1. 由于某些原因,在使用support.qq.com时,查找某个错误编号,定位到了http://imgcache.qq.com/bossweb/support/js/common.js
2. 看到代码里有pdt_admin, 看样子是管理员的什么.

D("#pdt_admin").href="/cgi-bin/beta2/sec_html?temp=index.html&fid="+forumId;


3. 打开上面这个链接,提示错误了!


4. 再次查看源代码,源代码里有时候还是有不少好东西的。
可以看到一个地址:http://support.qq.com/beta2/simple_admin/flogin.html
5. 打开 http://support.qq.com/beta2/simple_admin/ ,可以看到管理的菜单信息了。但是有许多链接是无法点击的。


6. 但是还是在JS中,我们可以看到菜单的实际链接信息。
http://support.qq.com/beta2/simple_admin/js/index.js

$("item1").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=0&fid=" + fid;
$("item2").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=11&fid=" + fid;
$("item3").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=10&fid=" + fid;
$("item4").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=5&fid=" + fid;
$("item5").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=6&fid=" + fid;
$("item6").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=7&fid=" + fid;
//$("item7").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=4&fid=" + fid;
$("item8").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=2&fid=" + fid;
$("item9").href = g_url_path + "guidang.html?fid=" + fid;
//$("item10").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=12&fid=" + fid;
$("item14").href = g_cgi_path + "sec_html?temp=honor/support_honor_" + fid + ".html";//荣誉榜
$("item15").href = g_url_path + "stat.html?fid=" + fid;//运营数据
$("item17").href = g_url_path + "admin_new.html?fid=" + fid;//管理员维护
$("item19").href = g_cgi_path + "titlelist_manager_new?yk=1&pn=0&num=50&order=15&fid=" + fid;
//$("item22").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=16&fid=" + fid;//投票
$("item23").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=17&fid=" + fid;//水帖
$("item24").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=18&fid=" + fid;//WAP帖
$("item25").href = g_cgi_path + "freq_vistor_list?pn=0&num=30&filter=3&fid=" + fid;//熟客
//$("item26").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=19&fid=" + fid;//未回复
$("item27").href = g_cgi_path + "mytitle?pn=0&num=50&type=1&fid=" + fid;//个人中心
$("item30").href = g_url_path + "info_conf.html?fid=" + fid;            //信息配置
$("item16").href = g_url_path + "monitor.html?fid=" + fid;              //活跃度监测


7. 经过查看,g_cgi_path开头的都做了权限设置,无法以普通身份访问,但是g_url_path开头的路径则多数可以看到界面。 其中info_conf.html是可以直接访问的。
8. info_conf.html是做什么用的呢?经过仔细查看一番,发现这个是“产品交流平台”每个产品页面的链接配置工具。


9. 比如:我们修改一个的话,就会变成下图这样。


10. 这样还不够成实际危害,但是我们可以结合XSS来实行攻击。
11. 通过GOOGLE,搜索到某个腾讯旗下某站点的反射型XSS一枚(可过浏览器过滤器的)。
12. 在保证不影响站点原有访问链接的情况下。我们将所有产品页面顶部的LOGO全部换位了我们自己的“中转”页面。用户点击后,首先会执行XSS后,再跳转至原本的正常链接。
13. 我们将链接改为XSS的目标,不是为了获取普通用户的信息。而是为了得到【产品交流平台】的管理员的登录信息。
14. 但是问题来了,我们不知道哪些QQ号是管理员,也没有好的标识能表明某个QQ是管理员,怎么办呢?
15. 还是信息泄漏,信息泄漏啊!!发现一个JS里有所有管理员的QQ号码列表。
http://support.qq.com/beta2/simple_admin/js/forumList.js (好多好QQ号码。。能发个8888开头的客服QQ我么,哈哈)
16. 有了这些信息。 将xsser.me (http://xsser.me)上截获的数据通过我编写的一个小程序进行过滤,结合上面得到的管理员信息,我们就可以很容易的抓取到管理员的登录信息。


17. 至于其他普通用户的cookies信息就比较多了,不一一列举危害了。


漏洞证明:

见详细说明。 之前将support.qq.com每个产品页面的LOGO链接都改为XSS链接了,现在用备份下来的数据,又都给你们恢复回去了。预计15分钟后(大约2012-10-18 19:55分)全部生效。

修复方案:

用户使用的资源文件中,不应该出现于管理有关的信息。同时确认每个页面都需要相应权限的权限才能访问并使用。例如本例中的info_conf.html

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-10-19 11:42

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-10-18 19:51 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    继续围观!

  2. 2012-10-18 19:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    和乌云同步公开吧 :)

  3. 2012-10-18 19:54 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @xsser ok~

  4. 2012-10-18 20:33 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    哈哈哈哈哈啊哈哈哈哈哈哈

  5. 2012-10-18 20:43 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    继续围观!

  6. 2012-10-18 21:05 | 闪电小子 ( 实习白帽子 | Rank:63 漏洞数:5 | PKAV技术宅社区!---闪电小子!)

    元方,你怎么看呢!

  7. 2012-10-18 21:34 | hongygxiang ( 普通白帽子 | Rank:115 漏洞数:12 | 蛋疼)

    围观

  8. 2012-10-18 22:11 | Night ( 实习白帽子 | Rank:57 漏洞数:16 )

    @闪电小子 看你妹子 天天叫我看 偶乃一介武夫莫黑我包大人

  9. 2012-10-18 22:12 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    腾讯竟然有如此牛X的安全问题...竟然还是一线业务体系上的..

  10. 2012-10-19 09:29 | Bincker ( 普通白帽子 | Rank:193 漏洞数:23 )

    碉堡了哇~!~

  11. 2012-10-19 09:41 | LeadUrLife ( 普通白帽子 | Rank:103 漏洞数:14 | 好好学习 天天向上)

    期待第三集。。。

  12. 2012-10-19 10:11 | 波波虎 ( 普通白帽子 | Rank:266 漏洞数:51 | 11111111111)

    都是连续剧。。。。

  13. 2012-10-19 10:38 | 峙酿君edwardz ( 实习白帽子 | Rank:40 漏洞数:1 | http://weibo.com/evilniang)

    关注 32场!!!

  14. 2012-10-19 11:17 | MEng ( 路人 | Rank:1 漏洞数:2 | 刚接触这个领域、来学习了)

    等公开,然后学习,哈哈

  15. 2012-10-19 18:06 | 闪电小子 ( 实习白帽子 | Rank:63 漏洞数:5 | PKAV技术宅社区!---闪电小子!)

    @only_guest 有妹子上线,请注意

  16. 2012-10-19 18:13 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    @闪电小子 多么熟悉的声音...伴我多少年风和雨...

  17. 2012-11-19 21:56 | MEng ( 路人 | Rank:1 漏洞数:2 | 刚接触这个领域、来学习了)

    学习。。。

  18. 2012-11-20 20:34 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    为什么不给到20呢~

  19. 2012-12-03 00:12 | majin78 ( 路人 | Rank:9 漏洞数:1 | majin78)

    学习了,细节很重要,见微知著