当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070454

漏洞标题:聊着聊着我就上了你……的微信(两处都可以劫持微信登录的漏洞)

相关厂商:腾讯

漏洞作者: 呆子不开口

提交时间:2014-07-31 14:12

修复时间:2014-09-22 17:00

公开时间:2014-09-22 17:00

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-31: 该漏洞正等待厂商内部评估
2014-08-01: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2014-08-21: 细节向核心白帽子及相关领域专家公开
2014-08-31: 细节向普通白帽子公开
2014-09-10: 细节向实习白帽子公开
2014-09-22: 细节向公众公开

简要描述:

聊着聊着我就上了你……的微信(两处都可以劫持微信登录的漏洞)

详细说明:

一、mac版客户端登录的劫持
mac版客户端的扫码登录确认页的请求为如下(有些以星号代替了)
http://szsupport.weixin.qq.com/cgi-bin/mmsupport-bin/qrcodelogin?username=*********&key=*************&clientversion=25030133&devicetype=android-18&lan=zh_CN&uuid=AXBIICc4sUSDsFnefkNP&pass_ticket=DebNjGnP2dJnq1bMvHvgL%2BezqqE70Ry9iWB625%2FRT8RRnwCD3tlq3qxuxG5YPzhx
经过测试可发现,此请求无需用户扫码动作确认,也没有签名保护,其中username和uuid分别是用户的微信号和二维码字符,很容易得到。key无法被攻击者猜出,但是也可以通过别的方式得到,比如如下方式
微信的公共账号发的文章url为这种:http://mp.weixin.qq.com/s?__biz=**********==&mid=10000001&idx=1&sn=bdc73ae816f2e7097c225b6070b1f2f2&from=singlemessage&isappinstalled=0#rd
在微信中打开这种链接,最终的目标页会被微信浏览器加上key和pass_ticket参数,这样只要我们能在这篇文章中插入个自定义url的图片即可通过referer偷到这个key。公众账号发表的文章不可以直接写自定义的IMG,但通过修改http请求里的参数就可以把图片地址换成我们自己服务器上的url了
这样只要发送给受害者点击,或者欺骗他扫描此链接的二维码,然后就可以得到key,然后拼接那个扫码登录确认页请求,点击确认登录,我们的客户端就可以自动登录了
二、网页版微信登录的劫持
网页版客户端的扫码登录确认页的请求为如下(有些以星号代替了)
http://login.weixin.qq.com/confirm?uuid=e921eed1fbf84e&key=*****************&lang=zh_CN&scan=1406467880&clientversion=25030133&devicetype=android-18
经过测试可发现,此请求也没有签名保护,但需用户扫码动作确认,其中uuid分别是二维码字符,很容易得到。key的话也可以通过如上方式获得。所以我们需要做的就是再让用户扫下码。
网页版二维码链接原文是这种https://login.weixin.qq.com/l/e921eed1fbf84e,经测试发现,可以直接把这个链接发送给用户访问,也可以达到用户扫描的效果
这样只要给受害者发送两个链接诱惑他点击,或者让他点击一个页面然后诱惑他去扫描内容中的二维码,就可以得到key,并让我们的请求合法。然后再拼接那个扫码登录确认页请求,点击确认登录,我们的网页版就可以自动登录了

漏洞证明:

首先在公众账号的内容中加入自定义图片

QQ20140731-1副本.png


mac客户端劫持:
先发送欺骗她点击

IMG_0962.PNG


然后我会收到

QQ20140731-7@2x.png


然后在浏览器点击确认登录

QQ20140731-6@2x.png


最后登录成功

QQ20140731-5@2x.png


网页版微信劫持:
先聊

1.pic.jpg


然后收到key

QQ20140731-3.png


QQ20140731-2.png


QQ20140731-1.png


修复方案:

如果没有需求,尽量公共账号发的消息文章中不允许有自定义src的图片
保护好get参数key不被referer等泄露,如果可以尽量用post
mac版的扫码登录需要做成和网页版一样,需要用户扫码确认才可以
对登录确认页的参数进行签名校验
等等……

版权声明:转载请注明来源 呆子不开口@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-01 17:31

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-31 16:08 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    大杀器!

  2. 2014-07-31 16:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Finger 管理员

  3. 2014-07-31 16:21 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    必杀技!

  4. 2014-07-31 16:32 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    贵司人好多,再凑一个打麻将吧

  5. 2014-07-31 17:02 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @呆子不开口 厂商确认中

  6. 2014-09-22 17:53 | 养乐多Ngan ( 普通白帽子 | Rank:652 漏洞数:72 | Hello,world.其实最大的漏洞,是人心。)

    膜拜啊!

  7. 2014-09-22 18:11 | 继续沉默 ( 实习白帽子 | Rank:62 漏洞数:9 | 好好学习,天天向上)

    你竟敢欺负我们舟舟,她可是我最喜欢的作家

  8. 2014-09-22 18:19 | tracyfan ( 路人 | Rank:15 漏洞数:2 | 崇尚进攻只能编出烂代码的抢点型前锋)

    霸气~ 要火

  9. 2014-09-22 18:28 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    膜拜了!!!

  10. 2014-09-22 19:41 | 咖啡 ( 实习白帽子 | Rank:48 漏洞数:20 )

    挖这个洞首要有一台Mac

  11. 2014-09-22 19:55 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    @呆子不开口 听说洞主是个段子手~果断看起洞主微薄学段子

  12. 2014-09-23 09:33 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    牛逼啊!

  13. 2014-09-23 10:44 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @redrain有节操 黄段子手

  14. 2014-09-23 10:51 | Seven.Sea ( 实习白帽子 | Rank:76 漏洞数:24 | 唯有安全与美食不可辜负。)

    膜拜膜拜..洞主也是个段子手..

  15. 2014-09-23 11:22 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @xsser 我只是个影视剧爱好者,为了你我一直在追《古剑奇谭》

  16. 2014-09-23 11:31 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @呆子不开口 尼玛

  17. 2014-09-23 12:08 | 番茄师傅 ( 普通白帽子 | Rank:254 漏洞数:59 | http://www.tomatoyu.com/)

  18. 2014-09-23 14:41 | 卡农的保镖 ( 路人 | Rank:4 漏洞数:3 | 好)

    兄弟 有果照吗 发出来阿

  19. 2014-09-23 15:18 | winsyk ( 普通白帽子 | Rank:108 漏洞数:16 | 越长大越孤单)

    牛逼。

  20. 2014-09-23 17:42 | hqdvista ( 普通白帽子 | Rank:154 漏洞数:31 | N/A)

    这个洞就一个字:爽

  21. 2014-09-23 18:16 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    CCAV的记者同志 往下拍 往下拍

  22. 2014-09-23 20:11 | s0mun5 认证白帽子 ( 普通白帽子 | Rank:493 漏洞数:24 | .)

    可以试一下易信的

  23. 2014-09-24 13:22 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    舟舟哭了……

  24. 2015-03-02 18:55 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  25. 2015-04-24 16:06 | 鸡鸡 ( 路人 | Rank:7 漏洞数:4 )

    蒋方舟。。。。

  26. 2015-04-24 17:47 | 無名老人 ( 路人 | Rank:15 漏洞数:3 | 干过开发,日过渗透,江湖人称: 少女杀手)

    厉害,厉害,洞主真仔细