WooYun.org

所谓强聊，就是不经过对方同意，直接发起QQ会话。
这个强聊的漏洞是由QQ空间引发的。
怀着严谨的态度，以下所有测试均是在测试QQ号码未开通QQ在线状态服务的前提下！开启了这个服务，就不用这么麻烦了，直接就能聊。
在QQ空间中，有一个谁看过我的功能，然后我们把鼠标移到他们的头像上，会弹出一个信息卡片，如图：

信息卡片上有一个聊天功能，也就是这个接口，出现了严重的bug。
点击聊天，抓包结果如下：

从图片中可以看出，聊天的接口为：

http://r.cnc.qzone.qq.com/cgi-bin/user/cgi_tmp_talk?qzone_uin=20737302&to_uin=569550119&g_tk=1593160781

里边有两个重要参数qzone_uin发起QQ(以下简称sender)，to_uin接收QQ(以下简称receiver)，指定这两个参数后，请求接口，返回信息如下：

<script type="text/javascript">
<!--
var url = 'tencent://message/?Menu=yes&uin=569550119&Service=112&SigT=ff8847c4116e035fd4b467f691cd9e42c0d413cec47eefb75d5e970421a2376ab400fffb0ea6cb8a&SigU=8a718a0cd8eba14b389fceb5788e72797b8a7eae107b9c43dd56bc7cc21090bccf67158b657963841c529232def3d416761799a1050acaaa29033f62f7fb46b5580fef571e7d82041508e926d65900ae77fae70b9cc4a341b7677c65b215d0327211235a5702bb6564157a3dfc11abe4';
location = url;
//-->
</script>

这里边又有三个非常重要的数据，经过大量实践，发现：uin是接收人的QQ，SigT是receiver的指纹，SigU是sender的指纹。
由此可见，有了这两个指纹，然后访问tencent://message/接口，就可以发起临时会话。
那怎么实现强聊呢？
小虫直接说结论，想强聊，必须知道自己一个好友的QQ号和被聊人一个好友的QQ号。这两个条件均不难实现，自己的QQ好友您还不知道么。。。而被聊人的QQ好友，也是很容易获取的，比如你想和你同班的美女聊，那么班主任的QQ就是切入点。
为什么需要这么奇怪的条件呢？小虫直接演示。
假设有四个角色，分别是A(发起人)，AF(发起人好友),B(接收人),BF(接收人好友)
第一步，我们需要在A和AF间建立一个通道，将A作为聊天的发起人，可以这样构造URL：

http://r.cnc.qzone.qq.com/cgi-bin/user/cgi_tmp_talk?qzone_uin=A&to_uin=AF&g_tk=1593160781

在服务器返回的参数中，我们拿到SigU参数，这个也就是A作为sender的指纹。
第二步，我们在B和BF间建立一个通道，将B作为聊天接收人，可以这样构造URL：

http://r.cnc.qzone.qq.com/cgi-bin/user/cgi_tmp_talk?qzone_uin=BF&to_uin=B&g_tk=1593160781

在服务器返回的参数中，我们拿到SigT参数，这个也就是 B作为receiver的指纹。
接下来我们把这两个指纹混合在一起，访问tencent://message/接口（别忘了加上最基本的uin参数，接收人QQ），恭喜，可以聊天了！
等等，好像有大问题，假如B和BF不是好友呢？我们并不能保证他们一定是好友，也就是说，我们是猜的。
这一猜，就出大问题了！！！

上图我就猜错了，他们不是好友。。。
聪明的你可能已经发觉了，这个接口可以测试两个QQ号码是不是好友(前提是被测者未开通QQ在线状态，如果一方开通了这个服务，可以尝试将sender、receiver反过来)！！！
这是多么邪恶的接口！
不法分子可以通过这个接口收费帮别人测试好友，进而导致情侣隐私泄漏，夫妻感情破裂，进而导致社会不和谐，进而导致生产力下降，进而导致科技停止发展，严重阻碍人类进化。
最后，补充一句，通过这个方法发起的临时会话，即使没有开启QQ在线状态服务也是可以的，除非你屏蔽了所有临时会话。