当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105544

漏洞标题:钓鱼网站肆虐大量QQ帐号密码被泄露钓鱼受害者已经过万(传统钓鱼升级)

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2015-04-07 11:03

修复时间:2015-05-23 15:30

公开时间:2015-05-23 15:30

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-07: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-18: 细节向核心白帽子及相关领域专家公开
2015-04-28: 细节向普通白帽子公开
2015-05-08: 细节向实习白帽子公开
2015-05-23: 细节向公众公开

简要描述:

无意间找到一个QQ钓鱼网站的后台,发现有漏洞,于是深入之……发现已有大量QQ帐号密码泄漏,大部分为广州地区,受害者还在不停的增加中。虽然不知道他们用的什么手段钓鱼,但是保证用户QQ帐号安全,腾讯有责任吧?

详细说明:

涉及到的两个域名:

uhmpj.cn
filxx.cn
先看看他们钓鱼的网址(部分)吧:
腾讯新闻	http://tLqS.pJp.uhmpj.cn/%3B1/dme/35#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/35#hFH	
点击复制
华为手机	http://tLqS.pJp.uhmpj.cn/%3B1/dme/34#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/34#hFH	
点击复制
股票公司	http://tLqS.pJp.uhmpj.cn/%3B1/dme/33#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/33#hFH	
点击复制
限制登录	http://tLqS.pJp.uhmpj.cn/%3B1/dme/31#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/31#hFH	
点击复制
租房空间	http://tLqS.pJp.uhmpj.cn/%3B1/dme/26#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/26#hFH	
点击复制
QQ好友辅助申诉	http://tLqS.pJp.uhmpj.cn/%3B1/dme/19#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/19#hFH	
点击复制
QQ安全中心	http://tLqS.pJp.uhmpj.cn/%3B1/dme/18#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/18#hFH	
点击复制
新QQ空间升级	http://tLqS.pJp.uhmpj.cn/%3B1/dme/17#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/17#hFH	
点击复制
优QQ空间	http://tLqS.pJp.uhmpj.cn/%3B1/dme/15#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/15#hFH	
点击复制
腾讯投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/10#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/10#hFH	
点击复制
职工投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/9#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/9#hFH	
点击复制
护士投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/8#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/8#hFH	
点击复制
人气投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/7#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/7#hFH	
点击复制
模特投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/6#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/6#hFH	
点击复制
身材投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/5#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/5#hFH	
点击复制
车模投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/4#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/4#hFH	
点击复制
校花投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/3#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/3#hFH	
点击复制
凤凰投票	http://tLqS.pJp.uhmpj.cn/%3B1/dme/2#hFH	
点击复制
http://tLqS.pJp.filxx.cn/%3B1/dme/2#hFH	
点击复制


QQ截图20150403092642.jpg

QQ截图20150403092739.jpg


11.png


22.png


33.png


44.png


55.png


是不是很逼真?

QQ截图20150403092853.jpg


还有很多,就不截图了。
再来看看目前为止泄漏的帐号有多少吧!

QQ截图20150403093200.jpg


88.jpg

漏洞证明:

后台地址:http://uhmpj.cn/WebAdmin/Login.asp
万能密码入之

QQ截图20150403093451.jpg


QQ截图20150403093545.jpg


先访问:http://uhmpj.cn/%3B1/%23admin/%23%23SX.html(否则后面总的数据有密码进不去)

QQ截图20150403093748.jpg


再访问:http://uhmpj.cn/%23total/%23admin/%23%23zongtaishouxin/qtmb.asp

QQ截图20150403093851.jpg


QQ截图20150403093954.jpg


再来个成功登陆的QQ号:就拿最新的1724951268试试吧

QQ截图20150403094431.jpg


美女账号众多哦~腾讯你好意思不好好保护么?

修复方案:

这虽然不是腾讯的漏洞,但是却深深的伤害了腾讯用户,所以该屏蔽的屏蔽,该提醒的提醒!
在QQ空间、微博、对话框等,屏蔽这两个域名:
uhmpj.cn
filxx.cn
当然,以后还会出现更多,还需要腾讯加强过滤,保护用户。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-04-08 15:28

厂商回复:

非常感谢你的反馈,已在处理中。

最新状态:

暂无