腾讯QQ某控件设计缺陷导致可远程登录任意QQ账号(已证明QQ空间、相册、微博、邮箱可登陆)

漏洞概要

缺陷编号:WooYun-2014-054204

漏洞标题:腾讯QQ某控件设计缺陷导致可远程登录任意QQ账号(已证明QQ空间、相册、微博、邮箱可登陆)

相关厂商:腾讯

漏洞作者:猪猪侠

提交时间:2014-03-21 14:10

公开时间:2014-05-05 14:10

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-03-21: 细节已通知厂商并且等待厂商处理中
2014-03-24: 厂商已经确认,细节仅向厂商公开
2014-04-03: 细节向核心白帽子及相关领域专家公开
2014-04-13: 细节向普通白帽子公开
2014-04-23: 细节向实习白帽子公开
2014-05-05: 细节向公众公开

简要描述:

腾讯QQ客户端某默认安装空间存在严重安全缺陷,黑客可远程获取任意好友的ClientKEY;
结合另外一个漏洞,即可绕过腾讯单点登陆系统的IP访问限制,登陆好友的QQ空间(围观QQ相册你懂的!)、QQ邮箱、QQ微博等QQ全线业务系统。

详细说明:

#1 测试环境操作系统:Windows8 X64 最新版本补丁QQ客户端:http://im.qq.com 下载的最新版 V 5.2 客户端程序 (2014年3月21日)

#2 问题描述腾讯QQ客户端在安装时,会自动启用并在操作系统内注册多个自身产品控件,同时注册伪协议tencent:// 供自身产品调用。#3 问题细节腾讯QQ聊天窗口客户端有一个音乐分享功能,可供用户与用户之间进行音乐分享,由于本功能采用伪协议调用miniplayer(QQ空间音乐播放器)中的某个功能来播放音乐,其中mdlurl参数URL未做安全校验,导致直接将客户端的ClientKey附加为参数提交。我们只需要构造特定的mdlurl,制定到自己的服务器,就能成功截取到好友的ClientKEY了friend.php

漏洞证明:

#4 实战利用

#5 好友互动当QQ好友点击那个链接后,我们即可接收到他的ClientKEY

#6 成功获取到ClientKEYqqmusic.php

# QQ相册,QQ空间,呵呵

修复方案:

#严格校验传递ClientKEY的URL是否为自身服务器

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-24 11:14

厂商回复:

非常感谢您的报告,问题已着手处理,感谢大家对腾讯业务安全的关注。如果您有任何疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 魇 白帽子 | Rank:1149 漏洞数:85)

    前排占位~

  2. 2010-01-01 00:00 梧桐雨 白帽子 | Rank:1509 漏洞数:154)

    给你个棒棒糖,告诉我细节吧~

  3. 2010-01-01 00:00 char 白帽子 | Rank:13 漏洞数:2)

    目测要火,前三占位。

  4. 2010-01-01 00:00 摸了你 白帽子 | Rank:38 漏洞数:5)

    @猪猪侠 什么时候成功的进一回内网呀...好期待呀

  5. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    @摸了你 马上,第三发就可以见到了。

  6. 2010-01-01 00:00 Wangl 白帽子 | Rank:33 漏洞数:3)

    @char 游族大牛,你们公司的SHELL可好?

  7. 2010-01-01 00:00 小土豆 白帽子 | Rank:90 漏洞数:9)

    要火的节奏,求细节~

  8. 2010-01-01 00:00 孤独雪狼 白帽子 | Rank:240 漏洞数:38)

    求进内网

  9. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @摸了你 @孤独雪狼 求成功的进内网

  10. 2010-01-01 00:00 Rookie 白帽子 | Rank:241 漏洞数:48)

    求内网的

  11. 2010-01-01 00:00 hkAssassin 白帽子 | Rank:295 漏洞数:28)

    给你个棒棒糖,告诉我细节可以么!

  12. 2010-01-01 00:00 Mr.leo 白帽子 | Rank:932 漏洞数:80)

    给你个棒棒糖,告诉我细节可以么!

  13. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    流弊

  14. 2010-01-01 00:00 裙下的秘密 白帽子 | Rank:37 漏洞数:6)

    围观

  15. 2010-01-01 00:00 luwikes 白帽子 | Rank:415 漏洞数:42)

    好屌

  16. 2010-01-01 00:00 niliu 白帽子 | Rank:1384 漏洞数:141)

    mark,好屌

  17. 2010-01-01 00:00 小川 白帽子 | Rank:1367 漏洞数:158)

    终于来了,登陆任意QQ用户漏洞

  18. 2010-01-01 00:00 龙臣 白帽子 | Rank:14 漏洞数:5)

    想看看马叔叔的相册啊

  19. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    火钳刘明

  20. 2010-01-01 00:00 Mody 白帽子 | Rank:78 漏洞数:13)

    好屌,火钳刘明

  21. 2010-01-01 00:00 blackexp 白帽子 | Rank:18 漏洞数:4)

    太屌了吧!

  22. 2010-01-01 00:00 doosit 白帽子 | Rank:16 漏洞数:3)

    好屌的说

  23. 2010-01-01 00:00 s3xy 白帽子 | Rank:698 漏洞数:62)

    mark

  24. 2010-01-01 00:00 萧然 白帽子 | Rank:0 漏洞数:2)

    mark

  25. 2010-01-01 00:00 木马游民 白帽子 | Rank:8 漏洞数:2)

    你这么屌我都不知道

  26. 2010-01-01 00:00 脚本菜菜 白帽子 | Rank:0 漏洞数:0)

    mark

  27. 2010-01-01 00:00 飞扬风 白帽子 | Rank:210 漏洞数:25)

    果断要火了

  28. 2010-01-01 00:00 admin1993 白帽子 | Rank:65 漏洞数:13)

    mark

  29. 2010-01-01 00:00 M4sk 白帽子 | Rank:783 漏洞数:96)

    任意这个屌.....有前提吗?还是直接获取。。 碉堡!

  30. 2010-01-01 00:00 M4sk 白帽子 | Rank:783 漏洞数:96)

    @猪猪侠

  31. 2010-01-01 00:00 Coffee 白帽子 | Rank:130 漏洞数:9)

    碉堡了!中排占位。忽略 or rank5 or rank20?

  32. 2010-01-01 00:00 小怿 白帽子 | Rank:25 漏洞数:4)

    @M4sk 同问,另外我想问,TM的QQ有这个洞吗?

  33. 2010-01-01 00:00 ‫‌ 白帽子 | Rank:76 漏洞数:14)

    猪哥V5

  34. 2010-01-01 00:00 M4sk 白帽子 | Rank:783 漏洞数:96)

    @小怿 。。。。猪哥V5

  35. 2010-01-01 00:00 雷锋 白帽子 | Rank:8 漏洞数:1)

    35楼也不算太迟吧。。

  36. 2010-01-01 00:00 炯炯虾 白帽子 | Rank:0 漏洞数:0)

    @Wangl [email protected]

  37. 2010-01-01 00:00 高斯 白帽子 | Rank:14 漏洞数:3)

    绕过SSO?怎么搞的?

  38. 2010-01-01 00:00 233 白帽子 | Rank:11 漏洞数:2)

    以前发过类似的审核都不通过

  39. 2010-01-01 00:00 秋风 白帽子 | Rank:372 漏洞数:32)

    NB!

  40. 2010-01-01 00:00 围剿 白帽子 | Rank:5 漏洞数:2)

    刘明

  41. 2010-01-01 00:00 刘海哥 白帽子 | Rank:110 漏洞数:12)

    够淫荡

  42. 2010-01-01 00:00 路人5 白帽子 | Rank:0 漏洞数:0)

    mark

  43. 2010-01-01 00:00 GrayTrack 白帽子 | Rank:59 漏洞数:7)

    够NB

  44. 2010-01-01 00:00 核攻击 白帽子 | Rank:35 漏洞数:7)

    各种mark

  45. 2010-01-01 00:00 小火苗 白帽子 | Rank:6 漏洞数:1)

    坐等内网漫游!

  46. 2010-01-01 00:00 xss_art 白帽子 | Rank:8 漏洞数:1)

    想知道怎么绕过ip访问控制。。。。关注。。。。

  47. 2010-01-01 00:00 Master 白帽子 | Rank:10 漏洞数:2)

    吊。。。。

  48. 2010-01-01 00:00 Docee 白帽子 | Rank:10 漏洞数:3)

    霸气。。。已Mark.

  49. 2010-01-01 00:00 Draycen 白帽子 | Rank:0 漏洞数:0)

    吊。。。。

  50. 2010-01-01 00:00 tSt 白帽子 | Rank:0 漏洞数:0)

    Mark

  51. 2010-01-01 00:00 木马游民 白帽子 | Rank:8 漏洞数:2)

    大神。

  52. 2010-01-01 00:00 flying 白帽子 | Rank:0 漏洞数:0)

    期待进次内网

  53. 2010-01-01 00:00 LaiX 白帽子 | Rank:110 漏洞数:25)

    @flying 比起进内网,这个漏洞更吸引我

  54. 2010-01-01 00:00 winsyk 白帽子 | Rank:83 漏洞数:10)

    赞。

  55. 2010-01-01 00:00 zph 白帽子 | Rank:156 漏洞数:19)

    NB!!

  56. 2010-01-01 00:00 Coffee 白帽子 | Rank:130 漏洞数:9)

    这是已shell了bbs.m.qq.com?

  57. 2010-01-01 00:00 Knight 白帽子 | Rank:18 漏洞数:4)

    测试用的php文件部署在腾讯服务器上?

  58. 2010-01-01 00:00 Annabelle 白帽子 | Rank:28 漏洞数:3)

    貌似已经shell了的样子

  59. 2010-01-01 00:00 猪猪侠 白帽子 | Rank:2932 漏洞数:249)

    @Coffee @Annabelle @Knight 以前shell过,同时这个漏洞不受域名或者地域的限制,可以在任意页面引用带有伪协议的链接,就能获取到好友QQ的ClinetKEY。

  60. 2010-01-01 00:00 疯狗 白帽子 | Rank:22 漏洞数:2)

    @233 啥时候发的?

  61. 2010-01-01 00:00 Ares 白帽子 | Rank:20 漏洞数:2)

    V5