当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016326

漏洞标题:腾讯某业务存储型XSS,盗取指定用户cookie,通杀所有业务。

相关厂商:腾讯

漏洞作者: 鬼魅羊羔

提交时间:2012-12-21 14:49

修复时间:2013-02-04 14:50

公开时间:2013-02-04 14:50

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-21: 细节已通知厂商并且等待厂商处理中
2012-12-21: 厂商已经确认,细节仅向厂商公开
2012-12-31: 细节向核心白帽子及相关领域专家公开
2013-01-10: 细节向普通白帽子公开
2013-01-20: 细节向实习白帽子公开
2013-02-04: 细节向公众公开

简要描述:

腾讯某业务存储型XSS,盗取指定用户cookie,通杀所有业务。QQ空间、邮箱、微博、以及所有个人业务。。跟上我上一个帖子是一样的。。
霸气的标题。。。感谢疯子、以及金山毒霸的基友参与测试哈。。

详细说明:

腾讯QQ管家举报中心,对URL地址过滤存在不足,url地址只要加入http://www开头,就可以正常提交XSS代码。
另一个问题,就是在提交后,腾讯会在次日的10:30分准时给用户反馈提交的结果,问题就出在这里,反馈回来的邮件内容中包含XSS语句,可以正常执行,就造成了此次事情。。。
另另外一个问题……算了,我还是配图说吧,这样说别扭。。。
这个玩了几天,过完瘾了,就发出来了
顺便说句。。。你们马总是不是不玩QQ邮箱啊?好嘛,跨了以后没劫持到他的信息。。

漏洞证明:

腾讯QQ管家举报中心,对URL地址过滤存在不足,url地址只要加入http://www开头,就可以正常提交XSS代码。
http://guanjia.qq.com/report_url.html
虽然下方的接收反馈信息的邮件地址是可控的,但是提交后,默认反馈的地址,还是登陆时的QQ号,我也尝试过,不登陆任何QQ进行提交,但是,点击提交,还是会要求登陆。。

QQ管家举报XSS填写.png


通过抓包发现,貌似是以uin中的内容为准啊。。不知道是不是这样,,反正,修改uin和email内容为要攻击的邮箱地址。。

QQ管家举报XSS.png


获取信息内容。。

腾讯QQ管家举报XSS证明.png


登陆别人空间。。

QQ管家举报XSS证据.png


证据2.png


这几张图就够了吧。。。

修复方案:

过滤。。

版权声明:转载请注明来源 鬼魅羊羔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-12-21 17:15

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-21 14:50 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    前排广告位出租

  2. 2012-12-21 15:01 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    这个碉堡了,http://www.mcbang.com/article-14438-1.html

  3. 2012-12-21 15:06 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 真的如描述的话,你发了,等着收ipad吧~

  4. 2012-12-21 15:07 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @se55i0n 嗯、危害挺大的、

  5. 2012-12-21 15:09 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @se55i0n 确实如描述。本来想拿这个搞helen二货的,不过看他可怜就算了

  6. 2012-12-21 15:12 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 腾讯不会给的,G博士他们都发了多少了,才给个U盘,我这东西算什么啊。。我就没报希望。。我上一个腾讯应用的,也是这样的危害,而且是实时性的,立刻见效,这个要等到次日的10:30分,腾讯审核后,才能收获cookie。。轮时间上,不如上一个。。上一个才给10RANK。。你想吧,这个多配了几个图,最多也是12。。我有预感。。

  7. 2012-12-21 15:13 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @疯子 哈哈~tx的筒子冬至都过不好咯~

  8. 2012-12-21 15:15 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 哈哈~圣诞来了~说不定给你派发礼物呢~

  9. 2012-12-21 15:15 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @se55i0n ~.~我还加班呢 我觉得十二月的乌云期刊这个可以上的...算一个新的储存型XSS的手法。

  10. 2012-12-21 15:16 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 哎。。其实我的标题起的有点夸张了,就是cookie可以登录所有的腾讯个人业务,微博、空间、邮箱、个人中心、各种web上的应用和服务。。要是能打到腾讯内网,估计ipad就有了。。可惜了,腾讯审核没几个是活人,全部是设备。。

  11. 2012-12-21 15:17 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 @疯子 哈哈~坐等公开

  12. 2012-12-21 15:17 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    几个好基友,这个你把qq邮箱的qq号遍历一遍就牛b了,那么ipad应该有了

  13. 2012-12-21 15:25 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 你咋老琢磨着QQ遍历啊亲。。。

  14. 2012-12-21 15:27 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @鬼魅羊羔 你想想啊遍历qq号发邮件多牛b啊,打开邮件就中招,收cookies收到剑心颤抖,那么多qq的各种业务都能登录,那估计离家被爆破也不远了

  15. 2012-12-21 15:33 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小胖胖要减肥 你这样的想法,剑心看见要郁闷的。。

  16. 2012-12-21 15:35 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    腾讯在乌云上面的 给个u盘 算好的了..

  17. 2012-12-21 15:38 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    围观!!!!!!!!!!

  18. 2012-12-21 15:43 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @小胖胖要减肥 果断爆破

  19. 2012-12-21 15:50 | 陈再胜 ( 普通白帽子 | Rank:121 漏洞数:13 | 微博收收听~~~●﹏●)

    哟呵,找到很大的洞洞啊······

  20. 2012-12-21 15:57 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @陈再胜 反正挺好玩,社工用不错哈。。。各种微博、空间、邮箱都能登录。。

  21. 2012-12-21 15:59 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @鬼魅羊羔 最近搞上腾讯了..你也打算连载吗

  22. 2012-12-21 16:03 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Rookie 别吓我了,这运气可不是天天有的啊。。。连载毛线啊。。能找到一个我都觉得不容易了。。

  23. 2012-12-21 16:27 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    目测1rank.....期望早点公开,我还有腾讯的xss呢..然后尝试一下

  24. 2012-12-21 16:32 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @蟋蟀哥哥 你小子打算尝试什么?乌鸦嘴啊你,应该不会RANK的,上一个腾讯给了10,这个最低也得10吧。。。

  25. 2012-12-21 16:32 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @蟋蟀哥哥 和你打赌不止1rank

  26. 2012-12-21 16:49 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @小胖胖要减肥 加赌注,除非腾讯真心不想在乌云了...

  27. 2012-12-21 17:09 | upload ( 普通白帽子 | Rank:251 漏洞数:43 | 此处略--!)

  28. 2012-12-21 17:16 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @蟋蟀哥哥 @疯子 蟋蟀哥哥把你的xss贡献出来吧

  29. 2012-12-21 17:17 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @小胖胖要减肥 15rank @蟋蟀哥哥 输了...

  30. 2012-12-21 18:46 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @疯子 我又没说要赌

  31. 2012-12-21 23:27 | circus ( 实习白帽子 | Rank:54 漏洞数:4 | 你会为一件事去说一句话,也会为一句话去干...)

    围观。

  32. 2012-12-21 23:41 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @circus - -||

  33. 2012-12-22 00:29 | Jason ( 路人 | Rank:0 漏洞数:1 | 我是来打酱油的!~~~)

    真威武呀,调这时间提交,真会选日子,呵呵!关注!

  34. 2012-12-22 15:24 | 小智 ( 实习白帽子 | Rank:33 漏洞数:5 | 低调低调,学习学习~)

    如果能直接读取cookies就更好了,应该是js爆cookies?

  35. 2012-12-22 15:28 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @小智 就是直接获取cookie。。看腾讯给15rank ,就知道了,,,

  36. 2012-12-22 15:29 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    我之前发现一个现象无论你接收邮箱地址填写的是什么 还是会发送到你登陆的那个QQ号的邮箱所以,11月初测试的时候失败了。。17号提交了个腾讯平台的XSS,才想起这件事。。经过抓包后发现那个uin参数 就是当前登陆的QQ号修改那个参数后 就OK了修改uin和email内容为要攻击的邮箱地址。。email:代表当前填写的接收反馈信息邮件地址uin:代表当前登录的QQ号综上所述,其实只修改uin就完全OK的。。。

  37. 2012-12-22 15:31 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    顺便再补充一个哈,关于cookie劫持的问题,其实登陆别人空间神马的,只需要三个参数,uin o_cookie skey最重要的就是skey其他两个可以推出来的o_cookie 这个值填写QQ号就行uin 参数里o开头 o后面必须保证是10位9位数的QQ 前面需要加0凑齐位数 例如:uin=o01234567898位的话应该就是加00 例如:uin=o0012345678说简单点,其实获得了对方的skey,就可以直接登陆对方的空间了,其他两个可以推出来嘛。。难度的问题,就是如何获取对付的skey值。。所以啊,各位客官,下次抓包时候,截图要记得打码哟,,别自己把自己卖喽。。我的就无所谓了,反正是测试账号嘛。。。

  38. 2012-12-22 15:36 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @鬼魅羊羔 说那么详细干毛?

  39. 2012-12-22 15:38 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯子 反正修复了0 0

  40. 2012-12-22 15:49 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @疯子 他菊花痒了呗

  41. 2012-12-22 15:50 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @小胖胖要减肥 痒了给艹不...给艹十分,不给-10086

  42. 2012-12-22 16:16 | 小智 ( 实习白帽子 | Rank:33 漏洞数:5 | 低调低调,学习学习~)

    @鬼魅羊羔 哈哈,那能做token~也能干很多坏事~

  43. 2012-12-23 10:05 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    貌似乌云中礼物给的最好的,就是送了部小米手机吧..

  44. 2012-12-23 12:43 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @px1624 这个就不知道了。。。我得的最好的,就是个双肩背包。。金山给的。。

  45. 2012-12-23 13:51 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @鬼魅羊羔 我就新浪给了次,三件套...

  46. 2012-12-24 00:48 | Fate ( 实习白帽子 | Rank:51 漏洞数:5 | www.0hk.org)

    @鬼魅羊羔 这次腾讯要给ipad了...

  47. 2012-12-24 01:00 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Fate 你们咋都想要ipad呢,其实这次腾讯99%是给公仔。我问过他们了,他们说礼物肯定让我满意,但是就是不提是什么。。

  48. 2012-12-24 10:01 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @鬼魅羊羔 尼玛,没我报道的新闻你这个漏洞没杀伤力,求礼物的一半..

  49. 2012-12-24 10:04 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯子 如果来公仔,我把公仔的照片给你;如果来了ipad,我把电池给你,我凑合着插电玩吧。。

  50. 2013-01-21 04:06 | 烨少 ( 路人 | Rank:5 漏洞数:1 )

    好热闹啊,我也来凑热闹了。

  51. 2013-01-21 16:40 | lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)

    @鬼魅羊羔 冰杰躺抢

  52. 2013-02-04 19:22 | RootUser ( 路人 | Rank:22 漏洞数:5 | null)

    我类个去,应该是公仔这次

  53. 2013-02-04 21:25 | lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)

    1