当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-036761

漏洞标题:天涯博客过滤不严可注入恶意代码(现实版QQ盗号欺骗攻击分析)

相关厂商:天涯社区

漏洞作者: 学习乌云

提交时间:2013-09-11 11:47

修复时间:2013-10-26 11:47

公开时间:2013-10-26 11:47

漏洞类型:钓鱼欺诈信息

危害等级:低

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-11: 细节已通知厂商并且等待厂商处理中
2013-09-11: 厂商已经确认,细节仅向厂商公开
2013-09-21: 细节向核心白帽子及相关领域专家公开
2013-10-01: 细节向普通白帽子公开
2013-10-11: 细节向实习白帽子公开
2013-10-26: 细节向公众公开

简要描述:

一个真实的案例:利用天涯博客的漏洞,来进行QQ盗号欺骗攻击。我详细分析了整个过程,注入的恶意代码,以及我是怎么吓唬那个小攻击者的。:-)

详细说明:

今天下午 QQ 上收到来自好友的聊天消息(最后是我怎么吓唬那个小攻击者的。:-)):

chatLog.png


里面附带的链接(http://blog.tianya.cn/blogger/post_read.asp?BlogID=4753456&PostID=51987816)看着没有任何问题,于是我就点了。结果就转到这个地址了:http://btjtyu.mkjnbf.com/9/?id=a 发现是个 QQ 欺诈页面:

QQSpoof.png


漏洞证明:

那那个博客链接是如何跳转的呢?我用 Fiddler 提取了相应的 HTML 源码(“博文正文”下面
就是攻击者发的恶意代码):

hisBlog.png


hisHTML.png


最 关 键 的 恶 意 代 码 是 http://yignb2312.gotoip1.com/aa.swf , 一 旦 访 问 它 会 自 动 跳 转 到http://btjtyu.mkjnbf.com/9/?id=a 。
*后果*
这个漏洞效果虽然也是 URL 跳转, 但跟 wooyun 上的 URL 跳转漏洞有着不同。他们的攻击载体直接是 URL。比如下面两个:
WooYun: 中华人民共和国商务部网站URL跳转漏洞(已被利用钓鱼攻击)
WooYun: 酷狗URL跳转漏洞,被用作钓鱼邮件
细心点的 QQ 用户会注意到 URL 的诡异,包括 tencent 本身可以从 url 上直接防御。但这个例子里单看 URL,完全不能区分是否有害。
另外直接访问那个人的博客:http://rfgbyukjrertydffddt.blog.tianya.cn/ 也会实现跳转。所以这个例子里的攻击向量有这两个链接
http://blog.tianya.cn/blogger/post_read.asp?BlogID=4753456&PostID=51987816
http://rfgbyukjrertydffddt.blog.tianya.cn/
根据这个统计(http://blog.tianya.cn/blogger/post_read.asp?BlogID=4753456),他的博客已经有118380次访问了,而他开博时间才是2013-7-24。所以可以估计他在这么短的时间扩散的还是很快的。
*其他攻击向量*
我简单搜了下,找到一个很类似http://blog.tianya.cn/blogger/blog_main.asp?BlogID=4753448 它本身没有实现恶意代码,但它的最近访客里,有个叫“五天英豆”的。却实现了一样的攻击效果:http://fovqrf.blog.tianya.cn/ 会跳转到 http://btjtyu.mkjnbf.com//9/?id=c (之前的是?id=a,是不是可以推断还有b, d, e…)
不再往下搜了。。。最好是有个搜索引擎能够搜html源码,这样把那段攻击代码搜下。。。就知道还有哪些博客有攻击向量了。

修复方案:

天涯:
* 修复自己的漏洞是必须的,本质上修复这种欺诈攻击。
* 根据已知的3个攻击博客,看看能否找到他们注册时的ip地址,进而挖掘出攻击者。
* 根据2013-7-24注册的人,找到其他的攻击博客。
腾讯:
* 把那些找出的攻击博客URL加入网址过滤黑名单,尽可能找出其他的欺骗网页。
* 缓解因为此种攻击方式而被盗号的账户。
* 对你们的网页过滤系统提出更现实的需求:一个“新”的“小”URL加入到聊天中时,需要进行实时分析其有害性(而不是像现在这样打个问号)。。。(维持比如2个月的审核期,过了这段时间可以考虑不再实时分析)
网警:
* 需要打掉最源头的http://yignb2312.gotoip1.com/aa.swf 这个恶意domain,最好能获取到现实世界的攻击者是谁。

版权声明:转载请注明来源 学习乌云@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2013-09-11 14:43

厂商回复:

正在联系业务修复……

最新状态:

暂无


漏洞评价:

评论

  1. 2013-09-11 11:53 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    id亮了

  2. 2013-09-11 12:13 | 学习乌云 ( 实习白帽子 | Rank:95 漏洞数:14 | 学习ing...)

    靠。。漏洞类型怎么变成XSS了啊。。我明明选的命令执行。。。求改回。

  3. 2013-09-11 12:14 | 学习乌云 ( 实习白帽子 | Rank:95 漏洞数:14 | 学习ing...)

    @淡漠天空 哈哈哈

  4. 2013-09-11 12:20 | 学习乌云 ( 实习白帽子 | Rank:95 漏洞数:14 | 学习ing...)

    貌似还真有XSS的味道。。。晕

  5. 2013-09-11 13:42 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    学习乌云好榜样~艰苦朴素...

  6. 2013-09-11 16:05 | 大肠精 ( 路人 | Rank:0 漏洞数:2 | 业余兴趣而已)

    天涯怎么跑到QQ去了晕

  7. 2013-10-11 23:01 | 流星warden ( 实习白帽子 | Rank:54 漏洞数:8 | The quieter you become,the more you are ...)

    @学习乌云 有时候是会帮你改名字的。。