当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016515

漏洞标题:腾讯某处存储型XSS一枚,可影响校友和空间。。

相关厂商:腾讯

漏洞作者: 鬼魅羊羔

提交时间:2012-12-26 10:05

修复时间:2013-02-09 10:05

公开时间:2013-02-09 10:05

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-26: 细节已通知厂商并且等待厂商处理中
2012-12-26: 厂商已经确认,细节仅向厂商公开
2013-01-05: 细节向核心白帽子及相关领域专家公开
2013-01-15: 细节向普通白帽子公开
2013-01-25: 细节向实习白帽子公开
2013-02-09: 细节向公众公开

简要描述:

腾讯某处存在过滤不严,导致XSS的出现,过程有点绕。。。

详细说明:

腾讯QQ昵称处存在过滤不严的问题,可以插入特殊字符,原本这是一个很正常的问题,script的语句写到闭合处的<script的时候,>括号就无法输入了。。。这个不是问题,长度不够,其实可以抓包改包实现突破,我之前的XSS都是用这样幼稚的手法实现的,问题就出来了,XSS问题出在QQ出的网页版QQ上,客户端无法抓包,那网页版应该可以吧?尝试以后的结果,还真的可以。。直接上图吧,这样说有点像讲故事。。

漏洞证明:

如下图:标签无法闭合。。网页版QQ也是如此。。

1.png


但是网页版的QQ,全完可以通过截包后修改,实现突破。。
画圈处就是昵称的位置,将XSS语句插入后提交。。
补充一下,测试QQ为:455457144

1.png


名字是改好了,但是如何触发就是个问题,想了2天没想出结果来,去彩贝网注册了下,既然发现在彩贝网,昵称是可以触发的。

1.png


彩贝网的没法实现攻击其他人,就不提了。。
继续下面的。。
腾讯一个三星活动页面,可以触发昵称。。
http://galaxycamera.act.qq.com/index1.html

1.png


点开以后就可以触发XSS了
既然可以触发,当然就想办法分享出去,造成影响。。。

1.png


利用上面的分享,可以直接分享出去,比如说朋友网,空间神马的。。
朋友网分享后的页面,点击链接即可触发。

1.png


空间也可以分享。。而且还可以指定攻击其他用户。。

1.png


这个有人担心动静太大,但是如果别人给你添加备注的话,就完全看不到昵称的问题了。
比如说:

1.png


昵称已经改了,这是备注的作用。。依旧是点击链接即可触发。。。
收获:

1.png


最后说下,晚上测试时,发现我自己这无法顺利复现了,经常抽风。。,但是金山毒霸的朋友那,却可以复现。。怕夜长梦多,所以先提交了。。。剩下的交给腾讯的大大们了。。

修复方案:

过滤吧。。

版权声明:转载请注明来源 鬼魅羊羔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2012-12-26 15:13

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

2012-12-26:刚刚我们发现这个在处理过程中已经在外部网站由报告者公开。对于该报告者不遵守乌云白帽子准则的行为,我们表示遗憾。希望乌云平台能够公正处理公开引导报告者的行为。

漏洞评价:

评论

  1. 2012-12-26 10:19 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    你妹,你这是跟TX干上了哇?

  2. 2012-12-26 10:23 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    又是一个爱上腾讯的小伙

  3. 2012-12-26 10:24 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    羡慕嫉妒恨、、、你又找到了一个腾讯的。。。

  4. 2012-12-26 10:28 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    尼玛,你对得起我不法克鱿

  5. 2012-12-26 10:29 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 还好意思说我,你都连载到11了。。。亲,我觉得,把你的教程看完,XSS应该会入门吧。。你还是写好文档吧,让剑总建个乌云的群,咱们共享下你的xss思路。。我这整天都是<script></script>,自己都不好意思提交了。。

  6. 2012-12-26 10:30 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @px1624 肿么说呢,腾讯的站点大啊,漏洞存在的可能性也大,,好找点。。。

  7. 2012-12-26 10:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @疯子 我辜负了你。。。我是负心汉。。。

  8. 2012-12-26 11:18 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    看来 @鬼魅羊羔 是想进入TX工作了

  9. 2012-12-26 11:26 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @Clar 看了漏洞详情感觉是很有意思的呵呵

  10. 2012-12-26 11:31 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    @疯子 ............ 屌丝滋润少,乌云乐趣多

  11. 2012-12-26 11:31 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    @疯子 你们太疯狂了

  12. 2012-12-26 11:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Clar 其实俺想去金山。。

  13. 2012-12-26 12:07 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @鬼魅羊羔 @金山

  14. 2012-12-26 13:10 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 大人,有什么吩咐。。

  15. 2012-12-26 13:14 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 大人,通知金山收了你~哈哈

  16. 2012-12-26 13:32 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 求分点rank。。

  17. 2012-12-26 13:33 | Jack ( 路人 | Rank:7 漏洞数:1 | 渴望成长)

    nb

  18. 2012-12-26 13:35 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    @鬼魅羊羔 这不就开始连载了

  19. 2012-12-26 13:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @Rookie 连载什么呀,我基本属于发现一个算一个,找到一个提一个。。一切看天意。。

  20. 2012-12-26 14:41 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    哎。。手里腾讯的反射多,我都不好意思提交到wooyun。。。

  21. 2012-12-26 14:42 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @蟋蟀哥哥 哈哈 反射的多找点方法利用嘛。

  22. 2012-12-26 15:14 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    @疯子 也有两个储存的。。qq某游戏和Qmail。。但是都非常鸡肋。。也不发鸟

  23. 2012-12-26 15:17 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @蟋蟀哥哥 这孩子 你是rank多了而已 像我这种rank少的就是找到反射性也要给他搞成储存型啊

  24. 2012-12-26 15:32 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @蟋蟀哥哥 发吧,乖。。一起学习下,藏起来也没意思啊。。乖,乖,乖。。

  25. 2012-12-26 19:00 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @鬼魅羊羔 漏洞在厂商修复前不要提前公开吧,否则容易带来争议 谢谢!

  26. 2012-12-26 19:25 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 不好意思剑总,这个是我的问题,公开之前没有征求腾讯应急响应中心的同意,剑总公正处理吧,下不为例。。

  27. 2012-12-26 19:30 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    删帖也好,封号也罢,这里有我自己的一些情绪问题,腾讯说无影响,说分给的有点高,我觉得这让我很郁闷,正因为我想当一个有素质的白帽,所以来乌云,但是我也希望厂商能信任我,尤其是尊重提交者的测试过程。关于我跟腾讯的对话,有图为证,我很乐意提供。

  28. 2012-12-26 19:34 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @鬼魅羊羔 嗯 这样的情况比较少的 下次注意就行 容易被误会 多谢!

  29. 2012-12-26 19:55 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 谢谢剑总体谅,总算没白执着于乌云,保证没有下次了。只是个人觉得,有些事情真的很让人恼火。之前那个XSS,确认10分钟后就修复完毕,他们通知我第二天复测,没问题就可以公开了,我照做了,可这次人家居然说无影响,既然无影响,为什么怕公开?上次公开了没纠缠,这次居然对一个无影响的问题纠缠起来了,很难让人觉得他们没有其他情绪。。。算了,无所谓了,就这样结束吧,我也不想给剑总带来麻烦。。。希望以后的白帽子们,注意点就行了,以我为戒吧,相信自己就好。

  30. 2012-12-26 20:09 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @鬼魅羊羔 把柄这东西,就好比男性器官,总是想越大越好;漏洞则相反之。

  31. 2012-12-26 20:11 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @心伤的瘦子 内涵了

  32. 2012-12-26 20:12 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 ...这样的比喻通俗易懂。。

  33. 2012-12-26 20:13 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 我想跟TX说的话,全在签名里。。多说无益啊。

  34. 2012-12-26 20:15 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @鬼魅羊羔 实干兴邦。 继续准备后面的教程去了。

  35. 2012-12-26 20:16 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @心伤的瘦子 嗯,期待连载。。等你哟。。。

  36. 2012-12-27 09:02 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @心伤的瘦子 你什么时候连载完啊,尖刀需要对你做一个采访 嗯哼?

  37. 2012-12-27 09:41 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @疯子 期待你更多的牛牛采访录哈~

  38. 2012-12-27 11:37 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @疯子 这个整个几百期,直接采访+出书,霸气V5

  39. 2012-12-27 12:07 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @px1624 哈哈,还有2个XSS,打算直接扔到腾讯的应急响应中心,换个公仔啥的。。。

  40. 2012-12-27 13:45 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @鬼魅羊羔 ?你这个变化太大了

  41. 2012-12-27 14:10 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @xsser @鬼魅羊羔 你这是算背叛wooyun么?-_-||

  42. 2012-12-27 14:29 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 嗯?什么变化……?这个……怎么说呢,没什么技术含量,就是之前提交过,人家说没用,然后昨天晚上想到了,复测了下,结果发现有戏。。。

  43. 2012-12-27 14:38 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 说实话,我现在的XSS,几乎大部分还是在<script>和<img>,运气好,找腾讯的一般就是本着“听天由命”的态度找。。找到一个算一个,确定有,但是没办法解决的,截图存文档里,等以后技术提高了,再翻回来继续找。。。这得感谢乌云,都是在这偷师的,哈哈。。等胖子和瘦子的文章公开了,应该可以好好的再学习学习了。。

  44. 2012-12-27 14:39 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @鬼魅羊羔 这也是能力 - -

  45. 2012-12-27 14:44 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 我也在琢磨,我这算不算是背叛。。乌云啥时候能来个战衣啊。。。一直期待呢。。这2个XSS有一个已经确定有了,只是向继续扩大影响。。另外一个跟之前的两个相同,是利用邮件的,但是能不能顺利X,也得继续测试。。

  46. 2012-12-27 14:51 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @xsser 这明摆是运气。。

  47. 2012-12-27 14:54 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    。。。

  48. 2012-12-27 14:54 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @鬼魅羊羔 我也是找一个算一个啊,其实技术高低,不在于你找到的多么隐蔽,要绕过多少多少限制,我在zone里也提到过,关键其实在于你能用发现的眼光找到薄弱的地方。你能发现别人发现不到的点,就是你的本事。我还偷偷跑你空间去看了你发的几个,思路都挺好。思路在那里, 与用不用<script>一点关系都没。

  49. 2012-12-27 14:55 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 @心伤的瘦子 我还是各种菜,在wooyun跟各种大大学习~

  50. 2012-12-27 14:56 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @gainover G牛说得好,我这样的菜菜会努力像各位大大靠近~

  51. 2012-12-27 14:58 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @gainover 谢谢G博士的点评,话说这几天一直在看你的XSS教程,就xsst.sinaapp.com里的那一篇,我基础知识很差,只是自己百度查,看帖去模仿,去研究,进步很慢,有很多人都跟我一样,想学东西,一直学不到好的,收费的太贵,免费的又没营养,以后多出点基础教程给我们就好了。。我从来不做黑产,也不想去碰那些东西,我就是想超越下自己,看自己究竟能学到什么程度。。顺便弱弱的问下,能加你QQ吗?

  52. 2012-12-27 15:00 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 乌币600多的人,还好意思说自己菜。走你·~~

  53. 2012-12-27 15:03 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    @鬼魅羊羔 QQ私信发给你吧,至于教程, 见 @心伤的瘦子 。

  54. 2012-12-27 15:05 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @gainover 这个偷偷用的。。

  55. 2012-12-27 15:07 | 心伤的瘦子 ( 普通白帽子 | Rank:147 漏洞数:21 | 严肃点~此号为虚拟小号,并不存在实体...)

    @gainover 你又 @ 我。我在写教程。

  56. 2012-12-27 15:07 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @鬼魅羊羔 我给你算了笔账,建议你还是提交到乌云。你不提交乌云,两个xss换一个公仔,价值30rmb左右,只能看,摆设,收藏,显摆。提交到乌云,保守计算20rank应该是有的吧。按照现在WB的价值,大约1WB等于10-12rmb,20WB=200-240RMB,可以买多少个公仔。。。

  57. 2012-12-27 15:12 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @px1624 嗯,确实,但是剑总的乌云商城里,老是缺货啊。。想买个百度U盘啥的,都缺货啊。。 @心伤的瘦子 你躺着中枪。piu的一下,成了死胖子。。。。

  58. 2012-12-27 15:15 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @鬼魅羊羔 不要急着买u盘那种东西诶,要相信WB的价值,以后肯定还有更多好东西的。小米2F码,淘宝一个卖500,WB只需要10个,直接1:50rmb了,霸气啊!

  59. 2012-12-27 15:16 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 羊羔兄呀,WB是刷出来的,跟菜不菜有啥关系?话说G牛跟你分享的东西,同求呀~~~~我加你Q

  60. 2012-12-27 15:17 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @se55i0n 啥呀,G牛还没分享呢,我现在都不知道该咋打招呼,怕G你正在忙。。天朝事多。。我QQ:183126820.。

  61. 2012-12-27 15:20 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    @鬼魅羊羔 发过来,鸟一个呗~

  62. 2012-12-29 12:58 | 沦沦 ( 普通白帽子 | Rank:504 漏洞数:127 | 爱老婆,爱生活)

    一般存储型XSS漏洞需要审核多少时间

  63. 2012-12-29 13:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @沦沦 按照影响而不是技术类型

  64. 2013-01-15 16:04 | 蟋蟀哥哥 ( 普通白帽子 | Rank:363 漏洞数:57 | 巴蜀人士,80后宅男,自学成才,天朝教育失败...)

    这个漏洞,我发现过好几次了