当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099486

漏洞标题:微博上点开我发的链接我就可登进你的淘宝支付宝和微博可盗号可挂马(poc中附若干从洞)

相关厂商:阿里巴巴

漏洞作者: 呆子不开口

提交时间:2015-03-04 16:58

修复时间:2015-04-24 13:40

公开时间:2015-04-24 13:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-04: 该漏洞正等待厂商内部评估
2015-03-05: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2015-03-25: 细节向核心白帽子及相关领域专家公开
2015-04-04: 细节向普通白帽子公开
2015-04-14: 细节向实习白帽子公开
2015-04-24: 细节向公众公开

简要描述:

微博上点开我发的新闻,我就进了你的淘宝支付宝和微博,从此我就对你的人生多了几分了解。利用过程中还利用了两个其他漏洞,一个是跳转漏洞(也可以是绕过xss filter的反射xss),一个是异常登录短信或动态口令认证的绕过,就在这一并提交了

详细说明:

漏洞一、淘宝的二维码扫描登录功能存在劫持漏洞
用户登陆的二维码,格式如下:

http://ma.taobao.com/rl/ebc9d0e7d1af2fd18e7aee1ed1f8ebbd


用户用手机扫描后,会在登录状态下去访问一个请求来给此二维码的值授权,然后需要用户点击确认,然后完成授权。这时浏览器端的会用授权后的参数去服务端获取登陆凭证,然后来登陆
但是,扫描后的用户确认页无意义,因为最终的授权请求格式如下:

post: http://login.m.taobao.com/qrcodeLoginAuthor.do?qr_t=s
参数为shortURL,值为上面的二维码的值 http://ma.taobao.com/rl/ebc9d0e7d1af2fd18e7aee1ed1f8ebbd


这里面的所有参数都是可猜测的,未加token保护。攻击者可以把shortUR参数换成他的二维码中的shortUR,然后直接欺骗登录用户去点击完成授权
我们可以获取到最终的登陆凭证格式如下:

https://login.taobao.com/member/loginByIm.do?uid=cntaobaousername&token=0104de9b4363476712b9597780a70a00&time=1425148510364&asker=qrcodelogin&ask_version=1.0.0&defaulturl=http%3A%2F%2Fwww.taobao.com%2F&webpas=1b04fa6f6901df787ce9da8848d1a23d2121730000


经测试发现,不管是用户登陆的是web版还是移动端淘宝,都可对此请求完成授权
就是说,只要用户在登陆状态下,不管是电脑还是移动端,只要点了我的链接,我就能用它的身份登陆淘宝了
漏洞二、互联网的便捷扩大了危害
很多人的淘宝是未登陆状态的,而且我没法直接对话那么多登陆了淘宝的用户,所以看起来只能搞搞熟人或是买家卖家
怎样和跟多的淘宝用户互动呢?我扶了扶镜框,发现微博上很多用户都绑定了淘宝账号。而且,即使你没登陆淘宝,微博的某些功能可以帮你自动登陆淘宝
如果你绑定了淘宝,你在微博或客户端微博上访问 

http://api.weibo.com/t_short_url?outUrl=http://www.taobao.com


浏览器会帮你自动登陆淘宝,所以思路就有了,让用户先自动登陆淘宝,再去访问我们的攻击请求
但由于此请求不让被iframe,所以我只能通过taobao.com域的跳转漏洞来让用户在登陆后再去访问我们的攻击请求
哪有跳转漏洞呢?我扶了扶镜框,果然发现了一个:

http://www.taobao.com/webww/redirect.htm?ssshttp://www.baidu.com?


当然,你看它的漏洞原理的话,它还可以是一个反射的xss,浏览器的xssfilter对它无效
漏洞出在js的跳转里,未对跳转目标进行校验

http://www.taobao.com/webww/redirect.htm?sssjavascript:alert(document.cookie);//


这样,只要在微博上发这样一个请求

http://api.weibo.com/t_short_url?outUrl=http://www.taobao.com/webww/redirect.htm?ssshttp://***********/tm.php?


用户点击后就相当于登陆了淘宝,又扫了我们的二维码了
漏洞三、绕过异常登录的短信认证或动态口令认证
我们拿到用户授权,去服务端获取完凭证后,用如下格式的链接去访问

https://login.taobao.com/member/loginByIm.do?uid=cntaobaousername&token=0104de9b4363476712b9597780a70a00&time=1425148510364&asker=qrcodelogin&ask_version=1.0.0&defaulturl=http%3A%2F%2Fwww.taobao.com%2F&webpas=1b04fa6f6901df787ce9da8848d1a23d2121730000


会发现,除了同城的一些用户,大部分用户的访问都被识别成异常登陆了,会弹出个短信或者动态口令认证
通过改IP等方式,可以偶尔绕过一些,但成功率不高
怎么才能完美绕过呢?我扶了扶镜框,发现了一个方法
在阿里旺旺里,也有个内嵌页面的自动登陆,格式如下:

http://login.taobao.com/member/loginByIm.do?_input_charset=utf-8&uid=cntaobaousernam&token=9d01ce33876e184b04d2ec03378fd134&act=SignIn&time=1425384138614&fromInnerIE=1&asker=AliIM&asker_version=8.00.43C&defaulturl=http%3a%2f%2fteam.taobao.com%2fphoneapp3%2fspread_and_home_page.htm%3fver%3d8.00.43C%26msgid%3d0%26uid%3dcntaobaousername%26cssname%3ddefault&webpas=cntaobaousernam---5494c4032a24c4e20c9ba758c889fe9d1523497202---


把我们的凭证里的几个主要参数,替换到这个请求中,也可以完成登陆,而且绕过了短信认证,我测试了,是100%的绕过
具体是哪个参数影响的,我没细看,应该是defaulturl和fromInnerIE此类的
四、登陆进淘宝后,可以直接访问支付宝,还可以直接自动登陆用户的微博
所以说账号打通后,只会降低双方的安全性。因为你们同时不出事的概率小了点

漏洞证明:

需要测试的poc可以联系我
证明的截图和视频如下:
其他用户的淘宝:

QQ20150301-1.png


短信认证

QQ20150301-2.png


绕过后

QQ20150301-3.png


QQ截图20150302151537.png


QQ截图20150302151708.png


屏幕快照 2015-03-03 02.41.01.png


屏幕快照 2015-03-03 02.41.41.png


视频如下,密码是238191

如果打不开视频,可以下载视频,地址如下
链接: http://pan.baidu.com/s/1qWnz6dm 密码: q9qm

修复方案:

1、扫描二维码后的确认请求,加token保护
2、js跳转需要校验目标
3、认证风控策略要统一,不要留一些弱策略的口子,不要有短板

版权声明:转载请注明来源 呆子不开口@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-05 13:38

厂商回复:

漏洞已确认真实存在,并已安排人处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-03-04 17:18 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    好长的标题,好萌的漏洞

  2. 2015-03-04 17:22 | 呆子不开口 ( 普通白帽子 | Rank:324 漏洞数:25 | 求各种兼职)

    @疯狗 标题都被你们改了,我写的是从此对你的人生多了几分了解,多有诗意,你们的ceo审美太差,不配一个诗人

  3. 2015-03-04 18:13 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @呆子不开口 湿人你好。

  4. 2015-04-04 20:01 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    我竟然完整的看到了,908cd5d48bceba9af53303c13e6bc73d

  5. 2015-04-05 12:34 | Noxxx ( 普通白帽子 | Rank:509 漏洞数:41 )

    先留个名

  6. 2015-04-24 14:11 | Focusstart ( 普通白帽子 | Rank:574 漏洞数:163 | 努力让某某某成为最幸福的女人!)

    看完了,牛逼!

  7. 2015-04-24 14:14 | 健宇 ( 普通白帽子 | Rank:131 漏洞数:14 | tools kid)

  8. 2015-04-24 14:16 | 我饿啦!! ( 路人 | Rank:8 漏洞数:1 | 哈哈)

    请问你那眼镜哪买的? 我也要一个.

  9. 2015-04-24 14:35 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  10. 2015-04-24 14:37 | cnrstar ( 普通白帽子 | Rank:157 漏洞数:23 | Be my personal best!)

    请问你那眼镜哪买的? 我也要一个.

  11. 2015-04-24 14:47 | 飘过的红花 ( 路人 | Rank:21 漏洞数:4 | 研究漏洞的方法、方式、工具及手段等是合法...)

    一环套一环

  12. 2015-04-24 14:56 | 大亮 ( 普通白帽子 | Rank:306 漏洞数:65 | 慢慢挖洞)

    请问你那眼镜哪买的? 我也要一个.

  13. 2015-04-24 15:00 | 0x334 ( 普通白帽子 | Rank:171 漏洞数:35 | 漏洞无影响,已忽略~~~~~~~)

    请问你那眼镜哪买的? 我也要一个.

  14. 2015-04-24 15:02 | papaver ( 普通白帽子 | Rank:197 漏洞数:35 | 95后,高一学生一枚... 萌萌哒..)

    这么牛逼的 为啥没有放首页呢? 之前都没有看到啊 。。。

  15. 2015-04-24 15:07 | 紫藤居士 ( 实习白帽子 | Rank:43 漏洞数:8 | 我是来向大神们学习的)

    请问你那眼镜哪买的? 我也要一个.

  16. 2015-04-24 15:10 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    你骗我,你的链接并没有女生拍裸照发到qq空间好看

  17. 2015-04-24 15:19 | 暗羽 ( 路人 | Rank:21 漏洞数:6 | 喵呜,给人类的智商跪了)

    请问你那眼镜哪买的? 我也要一个.

  18. 2015-04-24 15:36 | Hxai11 ( 普通白帽子 | Rank:1137 漏洞数:218 | 于是我们奋力向前游,逆流而上的小舟,不停...)

    到头来是token惹的祸?

  19. 2015-04-24 15:44 | 圣路西法 ( 路人 | Rank:4 漏洞数:3 | 围观大神ส็็็็็็ ̷̸̨̀͒̏̃ͦ...)

    请问你那眼镜哪买的? 我也要一个

  20. 2015-04-24 16:19 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)

    又一个SSO带来的问题。

  21. 2015-04-24 19:26 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)

    请问你那眼镜哪买的? 我也要一个

  22. 2015-04-24 19:28 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)

    为什么在/corp_detail.php?corp=阿里巴巴这里看不到这个洞

  23. 2015-04-24 19:43 | Seven.Sea ( 实习白帽子 | Rank:76 漏洞数:24 | 唯有安全与美食不可辜负。)

    镜框威力好大..

  24. 2015-04-24 20:05 | 疯狂的dabing ( 实习白帽子 | Rank:33 漏洞数:9 | Hehe is golden.)

    @夏殇 有趣的发现

  25. 2015-04-24 22:38 | Constantine ( 路人 | Rank:1 漏洞数:1 | 不交450谁也保不了你)

    请问你那眼镜哪买的? 我也要一个

  26. 2015-04-25 18:29 | 屠龙宝刀点击就送 ( 路人 | Rank:4 漏洞数:2 | 简要介绍不能为空)

    请问你那眼镜哪买的? 我也要一个.

  27. 2015-04-25 19:13 | 斯杰 ( 路人 | Rank:10 漏洞数:5 | By:S丶jer)

    请问你那眼镜哪买的? 我也要一个.

  28. 2015-05-04 23:01 | wutoupal ( 路人 | Rank:4 漏洞数:1 | 我是新人)

    请问你那眼镜哪买的? 我也要一个.

  29. 2015-05-05 16:10 | jeary ( 普通白帽子 | Rank:296 漏洞数:106 | (:‮.kcaH eb nac gnihtynA))

    扶了扶眼镜框.

  30. 2015-05-05 17:27 | Yinkan ( 路人 | Rank:2 漏洞数:1 | 码农)

    扶了扶眼镜框

  31. 2015-05-05 19:24 | Lucaroot ( 路人 | Rank:4 漏洞数:8 | 123)

    请问你那眼镜哪买的? 我也要一个.

  32. 2015-05-05 21:23 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)

    太厉害了!

  33. 2015-05-17 00:20 | 雏鹰 ( 路人 | Rank:2 漏洞数:1 | 关注互联网的那些事、关注web安全、关注安...)

    各种攻击

  34. 2015-08-21 17:08 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    我扶了扶镜框,发现我没戴眼镜。。。已瞎

  35. 2015-08-24 09:47 | Stardustsky ( 路人 | Rank:4 漏洞数:3 | ……)

    我扶了扶镜框,然而什么也没发现