当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013530

漏洞标题:PKAV腾讯专场 - 2. 腾讯产品交流平台的一个js文件泄漏了一个url之后

相关厂商:腾讯

漏洞作者: gainover

提交时间:2012-10-18 19:50

修复时间:2012-12-02 19:51

公开时间:2012-12-02 19:51

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-10-18: 细节已通知厂商并且等待厂商处理中
2012-10-19: 厂商已经确认,细节仅向厂商公开
2012-10-29: 细节向核心白帽子及相关领域专家公开
2012-11-08: 细节向普通白帽子公开
2012-11-18: 细节向实习白帽子公开
2012-12-02: 细节向公众公开

简要描述:

一点小的信息泄漏,也可能带来严重的问题哦。 本文从腾讯的一个js文件里的一个url开始!
漏洞成因会同步至:pkav.net (待腾讯完全修复后并确认不会带来后续影响时公开 :) )

详细说明:

1. 由于某些原因,在使用support.qq.com时,查找某个错误编号,定位到了http://imgcache.qq.com/bossweb/support/js/common.js
2. 看到代码里有pdt_admin, 看样子是管理员的什么.

D("#pdt_admin").href="/cgi-bin/beta2/sec_html?temp=index.html&fid="+forumId;


3. 打开上面这个链接,提示错误了!


4. 再次查看源代码,源代码里有时候还是有不少好东西的。
可以看到一个地址:http://support.qq.com/beta2/simple_admin/flogin.html
5. 打开 http://support.qq.com/beta2/simple_admin/ ,可以看到管理的菜单信息了。但是有许多链接是无法点击的。


6. 但是还是在JS中,我们可以看到菜单的实际链接信息。
http://support.qq.com/beta2/simple_admin/js/index.js

$("item1").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=0&fid=" + fid;
$("item2").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=11&fid=" + fid;
$("item3").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=10&fid=" + fid;
$("item4").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=5&fid=" + fid;
$("item5").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=6&fid=" + fid;
$("item6").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=7&fid=" + fid;
//$("item7").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=4&fid=" + fid;
$("item8").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=2&fid=" + fid;
$("item9").href = g_url_path + "guidang.html?fid=" + fid;
//$("item10").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=12&fid=" + fid;
$("item14").href = g_cgi_path + "sec_html?temp=honor/support_honor_" + fid + ".html";//荣誉榜
$("item15").href = g_url_path + "stat.html?fid=" + fid;//运营数据
$("item17").href = g_url_path + "admin_new.html?fid=" + fid;//管理员维护
$("item19").href = g_cgi_path + "titlelist_manager_new?yk=1&pn=0&num=50&order=15&fid=" + fid;
//$("item22").href = g_cgi_path + "titlelist_manager_done?pn=0&num=50&order=16&fid=" + fid;//投票
$("item23").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=17&fid=" + fid;//水帖
$("item24").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=18&fid=" + fid;//WAP帖
$("item25").href = g_cgi_path + "freq_vistor_list?pn=0&num=30&filter=3&fid=" + fid;//熟客
//$("item26").href = g_cgi_path + "titlelist_manager_new?pn=0&num=50&order=19&fid=" + fid;//未回复
$("item27").href = g_cgi_path + "mytitle?pn=0&num=50&type=1&fid=" + fid;//个人中心
$("item30").href = g_url_path + "info_conf.html?fid=" + fid;            //信息配置
$("item16").href = g_url_path + "monitor.html?fid=" + fid;              //活跃度监测


7. 经过查看,g_cgi_path开头的都做了权限设置,无法以普通身份访问,但是g_url_path开头的路径则多数可以看到界面。 其中info_conf.html是可以直接访问的。
8. info_conf.html是做什么用的呢?经过仔细查看一番,发现这个是“产品交流平台”每个产品页面的链接配置工具。


9. 比如:我们修改一个的话,就会变成下图这样。


10. 这样还不够成实际危害,但是我们可以结合XSS来实行攻击。
11. 通过GOOGLE,搜索到某个腾讯旗下某站点的反射型XSS一枚(可过浏览器过滤器的)。
12. 在保证不影响站点原有访问链接的情况下。我们将所有产品页面顶部的LOGO全部换位了我们自己的“中转”页面。用户点击后,首先会执行XSS后,再跳转至原本的正常链接。
13. 我们将链接改为XSS的目标,不是为了获取普通用户的信息。而是为了得到【产品交流平台】的管理员的登录信息。
14. 但是问题来了,我们不知道哪些QQ号是管理员,也没有好的标识能表明某个QQ是管理员,怎么办呢?
15. 还是信息泄漏,信息泄漏啊!!发现一个JS里有所有管理员的QQ号码列表。
http://support.qq.com/beta2/simple_admin/js/forumList.js (好多好QQ号码。。能发个8888开头的客服QQ我么,哈哈)
16. 有了这些信息。 将xsser.me (http://xsser.me)上截获的数据通过我编写的一个小程序进行过滤,结合上面得到的管理员信息,我们就可以很容易的抓取到管理员的登录信息。


17. 至于其他普通用户的cookies信息就比较多了,不一一列举危害了。


漏洞证明:

见详细说明。 之前将support.qq.com每个产品页面的LOGO链接都改为XSS链接了,现在用备份下来的数据,又都给你们恢复回去了。预计15分钟后(大约2012-10-18 19:55分)全部生效。

修复方案:

用户使用的资源文件中,不应该出现于管理有关的信息。同时确认每个页面都需要相应权限的权限才能访问并使用。例如本例中的info_conf.html

版权声明:转载请注明来源 gainover@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-10-19 11:42

厂商回复:

非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。

最新状态:

暂无