微信暴QQ密码

漏洞概要

缺陷编号:WooYun-2011-02915

漏洞标题:微信暴QQ密码

相关厂商:腾讯

漏洞作者:Micro Da

提交时间:2011-10-01 13:52

公开时间:2011-10-01 17:46

漏洞类型:用户敏感数据泄漏

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2011-10-01: 细节已通知厂商并且等待厂商处理中
2011-10-01: 厂商已查看当前漏洞内容,细节仅向厂商公开
2011-10-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

QQ微信暴QQ密码。。。先扯蛋下。。由于昨天才从长沙回。。今天回到家,就一个字爽。。所以今天心情非常的好。。就说一下上个星期发现微信可以暴QQ密码。。由于买了个手机。所以蛋疼的下了个微信。。结果玩着玩着。。发现了oday。。下面开始说说怎么搞吧。。。第一:首先用数据线连接到你手机上。然后打开你的e盘。。就是你安装微信在那个盘里。。我是安装在e盘。第二 :在e盘找到MM文件夹。(这个MM是微信安装目录)然后你打开MM文件夹。。你会发现很有用的东西。。那就是global.cfg这个文件。(其实这个文件是记录微信登入的信息)接着用记事本打开吧。。。你会发现AutoLogonAccount和AutoLogonPassword(AutoLogonAccount是登入账号信息。注:如果你用QQ号直接登入。它AutoLogonAccount里面记录的是你QQ的马甲。如果注册微信号记录的是微信账号)。AutoLogonPassword记录的是登入密码。加密方式md532位加密字符。有人会问。如果你用QQ直接登入微信。那你怎么找到他QQ号。。不急不急。。慢慢来。。你在MM文件夹里会发现你自己登入的信息。文件夹下会有一个Account.cfg文件。。用事本打开看。。你会发现里面有Email和QQ账号。。后面的自己发现吧。。

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2011-10-01 17:46

厂商回复:

添加对漏洞的补充说明以及做出评价的理由

漏洞Rank:6 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    大企鹅这都不管?

  2. 2010-01-01 00:00 knife 白帽子 | Rank:150 漏洞数:24)

    哈哈,某些人可以批量搞密码了。。

  3. 2010-01-01 00:00 Micro Da 白帽子 | Rank:50 漏洞数:7)

    嘿嘿 上楼你就是那些某些人里的吧。。

  4. 2010-01-01 00:00 蚊虫 白帽子 | Rank:26 漏洞数:12)

    1.2楼都是没妞喜欢的娃..

  5. 2010-01-01 00:00 丶小蓝丶 白帽子 | Rank:3 漏洞数:1)

    貌似搞QQ密码没啥用处吧~

  6. 2010-01-01 00:00 baifeng 白帽子 | Rank:0 漏洞数:1)

    只能搞到本机的啊。

  7. 2010-01-01 00:00 wormcy 白帽子 | Rank:19 漏洞数:3)

    这也忽略~ 神奇

  8. 2010-01-01 00:00 X-Secure 白帽子 | Rank:6 漏洞数:2)

    @baifeng 手机病毒呢?感染后搜索这个文件,然后以某种方式传送给病毒作者~~盗号就这么简单~连监控都不用了~

  9. 2010-01-01 00:00 李帝豪 白帽子 | Rank:0 漏洞数:1)

    盗号还是去搞个网站后台比较实在,注册的时候要求用QQ邮箱,密码不能为弱密码,然后上数据库查用户的****直接用用户在网站的密码登录他的QQ......................

  10. 2010-01-01 00:00 Micro Da 白帽子 | Rank:50 漏洞数:7)

    @李帝豪 。擦。。。。你想笑死我???

  11. 2010-01-01 00:00 李帝豪 白帽子 | Rank:0 漏洞数:1)

    @Micro Da 这个有什么好笑的,其实很多人密码都一样,QQ密码能开支付宝也很正常

  12. 2010-01-01 00:00 Micro Da 白帽子 | Rank:50 漏洞数:7)

    @李帝豪 。。。对你没话说。。我OUT了。。

  13. 2010-01-01 00:00 Pentos 白帽子 | Rank:24 漏洞数:8)

    @Micro Da 社会工程学范畴了,哈哈。。

  14. 2010-01-01 00:00 Micro Da 白帽子 | Rank:50 漏洞数:7)

    @Pentos 呵呵。。那个李帝豪说话真搞笑。。

  15. 2010-01-01 00:00 李帝豪 白帽子 | Rank:0 漏洞数:1)

    @Pentos 我的意思是本机的文件不好搞,社工比较简单,我的本意是交流不是要搞笑

  16. 2010-01-01 00:00 菜菜来报道 白帽子 | Rank:11 漏洞数:1)

    其实一直在想要从手机和平板等平台获得企鹅密码,qq windows平台的安全性做的很好,但是手机和平板估计要弱一些,手机装了恶意软件,再上传上述文件,就悲剧了

  17. 2010-01-01 00:00 菜菜来报道 白帽子 | Rank:11 漏洞数:1)

    @李帝豪 其实现在很多经常上网的人的qq密码都是独立密码的,只有那些小白才公用一个密码,小白的q偷来何用

  18. 2010-01-01 00:00 Dreama 白帽子 | Rank:10 漏洞数:1)

    天朝是个神奇的国度,钱多人傻的例子还是不少的

  19. 2010-01-01 00:00 popok 白帽子 | Rank:82 漏洞数:19)

    oday是什么?
    还有就是一个应用程序需要记住密码,肯定得在本机存储一些数据吧?

  20. 2010-01-01 00:00 g0t3n 白帽子 | Rank:0 漏洞数:1)

    这样可以骗个妹子去用自己手机登陆扣扣,然后就可以骗他被盗了,然后进一步发展XXOO(省略2k字)

  21. 2010-01-01 00:00 九零 白帽子 | Rank:5 漏洞数:1)

    把自己手机给别人登录QQ。不过知道的都是熟人~~

  22. 2010-01-01 00:00 X-Secure 白帽子 | Rank:6 漏洞数:2)

    @g0t3n 又找到了微信约炮的新玩法了么……

  23. 2010-01-01 00:00 96° 白帽子 | Rank:6 漏洞数:2)

    表示没多大用处,你会拿别人手机收微信么,?要么你来个手机蠕虫把,

  24. 2010-01-01 00:00 無情 白帽子 | Rank:39 漏洞数:4)

    问题在于,涉及什么版本平台,,,

    而且现在貌似无此漏洞了

  25. 2010-01-01 00:00 Smile 白帽子 | Rank:0 漏洞数:0)

    挖漏洞精神,无止境啊,支持。

  26. 2010-01-01 00:00 Micro Da 白帽子 | Rank:50 漏洞数:7)

    @Smile 这玩意还关注???去年的了。。。

  27. 2010-01-01 00:00 八神庵 白帽子 | Rank:0 漏洞数:2)

    结合手机病毒还是有点作用的

  28. 2010-01-01 00:00 Mr.酒酒 白帽子 | Rank:10 漏洞数:1)

    如果想批量确实困难,实现的话只能是两种方式。PC机自动扫描可移动磁盘判断是否手机内存。比如安卓系统用过的卡就很容易判断出来(.android)。然后获取文件发回,但是这等于守株待兔。如果直接开发安卓系统下的木马文件要更现实。

  29. 2010-01-01 00:00 帕秋莉 白帽子 | Rank:8 漏洞数:2)

    @菜菜来报道 这个还是不一定.. 比如某f4ck的葙守大牛就曾经中枪.

  30. 2010-01-01 00:00 M4sk 白帽子 | Rank:783 漏洞数:96)

    。。。。凑个热闹