漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-036098
漏洞标题:腾讯申诉机制存在缺陷引发的一系列血案
相关厂商:腾讯
漏洞作者: 鬼魅羊羔
提交时间:2013-09-04 17:05
修复时间:2013-09-04 17:36
公开时间:2013-09-04 17:36
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:1
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-09-04: 细节已通知厂商并且等待厂商处理中
2013-09-04: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
腾讯申诉机制存在缺陷
详细说明:
9月3日下午16:25分左右,QQ意外被黑,发现问题后,我的第一反应就是用密保来修改密码,因为当时着急,没仔细想,结果就发现,密保居然不正确了(返回头想,更改QQ密码,除非手机宝令绑定,或者超级QQ绑定后,才可以直接更改密码,其他更改措施,都需要密码保护来验证,既然密码不正确了,密保肯定也就被重置了,当然无法更改了。)
下图为QQ被盗的原因,就是申诉:
进一步检查发现,出了QQ密码,密保手机、手机宝令、QQ密码保护等措施,全部被人重置了,于是我直接联想到了QQ申诉,当然了,QQ申诉必须具备几个条件,姓名、常用IP、三个人以上的QQ好友辅助验证以及曾用密码,才可以重置QQ密保,我一直以为是QQ申诉出来新的漏洞了,可以直接秒杀(后来一琢磨,发现不是QQ漏洞的问题,因为申诉我的号码,他已经具备了几个条件,我的名字是公开的,这个条件成熟、常用IP可以直接代理,也成熟,常用密码的话,有QQ裤子就好说,直接查询历史密码,这还不够,问题就出在最关键的QQ好友辅助上了,我是栽到这里了。)
先不多说,我先贴几张图,咱看图说话。。。
大家注意下2013-09-03 16:29分的纪录,是申诉审核通过后的,大家也知道,申诉审核时间,是4小时之内,但是通常2小时就会有结果了,估计申诉时间大概是下午2点前后,申诉成功后,直接开始更改我的密码和密保资料,幸运的是我在他重新设置密保资料之前,就提交了一次申诉材料,当然了,我知道的账号信息肯定比他要全,毕竟是我自己的号。
QQ被重置以后,当时只顾着着急QQ本身了,却忘了攻击者的真正意图,当时就想到了乌云账号会不会受牵连,因为我乌云的的密码找回邮箱,就是QQ邮箱,我登陆乌云,发现密码果然被修改了,果不其然,在修改我的密保以后,第一件事,就是进我的QQ邮箱,因为我QQ邮箱设置了独立密码,他又用设置好的密保,重置了我的独立密码,进入了邮箱,大家看下IP地址,是代理的呼和浩特市,跟我的常用IP很接近,但是,还是有区别的。。这就说明,这个家伙在登陆我邮箱的时候,用的依然是代理,也就是被盗QQ的常用IP地址,这是满足申诉的第一个重要条件。
后来找回密码以后,我进入邮箱,发现了这个,原来,攻击者在重置了我QQ邮箱独立密码以后,就直接奔我的乌云账号去了,通过乌云账号密码找回功能,直接修改了我的乌云密码,并且转账走了33乌币,攻击者的真正目的,是乌云的乌币,我的QQ号,只是连带误伤而已,在已删除邮件中找到了这个,看下图:
下面是攻击者进入我乌云账户后进行的转账截图:
出去办了点事情,回来,我的小伙伴们已经有个结果了:
陈再胜小朋友在看到乌云账号被盗的消息后,第一时间成功的射到了这个家伙的乌云密码,但是果不其然,是个小号,也不知道是转几次的小号了,WB直接转给了xcloud这个账号,估计这个账号也是个小号,肯定又转到了另外一个账户上:
(后来根据这个账户的拥有者说,他的账户是被人恶意找回了,用他的号来栽赃陷害的,并不是他所为,这个具体是不是,就没地方考证了,但是如果真是栽赃的话,那这个事情就变的更复杂了)
仔细回想了下,最近加我的人实在太多了,大部分都是加进来,不说话,要么就是无限次的重复一句话,之前没在意,出了这事儿后,我才明白过来,这就是申诉找回的最重要的一个环节,加你,不是为了聊天,而是为了后续的好友辅助申诉,我也不知道具体是哪个人,我还是先贴出来吧。。误伤了莫怪。。
后来有人反映,这些QQ号当中,有一个人加了不少白帽子,而且,多数是有事没事的说话,比较可疑,具体是哪个,我也没证据,大家自己斟酌吧。。
最近加的这些人,行为真心古怪,反复的问我:“在吗?”,我回答后,就没动静了,第二天,还是回重复同样的话,问你在不在。
当然了,这些人,我都是单向好友,也就是我同意他们加我好友,但是我并没有加他们。
后来琢磨了下,这样的话,如果也能被申诉,那么只有一种可能性,腾讯不会验证对方是否在你的好友列表当中,而是把经常聊天的人当做了常用联系人,也就是默认成了好友,就算你好友没加他,对方一样可以进行辅助申诉。
我忽略了一个问题,还可以根据QQ空间信息,加上对方的好友后,说号被盗了如何如何,然后让帮忙配合申诉,这样也可以申诉成功的。对方加你其他朋友的QQ后,先不说话,当你直接收到一封“QQ密保好友辅助”的邮件后,忽然告诉你,说是号被盗了,需要填下申诉回执单,很紧急,你的第一反应是什么?我想,很多人看到邮件提示的是自己朋友的QQ号,基本不会怀疑,肯定是先着急的填写验证信息后,才会想起来问对方,你是不是某某某人?你号怎么会丢呢?当你填写完成后,你问什么,都已经没有意义了。。。。如果我加对方10个好友,广撒网,那配合申诉的命中率是多少呢?我相信,超过三个,是轻轻松松的。。。这样的话,QQ密保被重置的概率就很大了。
为了验证这个可行性,我跟陈再胜继续做了次测试,在单向好友的情况下,是可以邀请对方进行好友辅助的(比如说:攻击者QQ为:4444,我的QQ为:5555,4444用户加我为好友,我只点了同意,也就是说,我并没有加他,而我,却在对方的好友名单里,这样的话,在对我5555这个号进行申诉时,攻击者4444同样可以收到好友辅助验证的邮件,也就是说,攻击者就算不在你的好友列表当中,一样可以有资格进行好友辅助验证,一旦成功验证人数超过3个,那么,QQ被申诉的几率是多大呢?由于曲子龙没有及时响应我的测试,导致申诉失败,我先贴个图,大家先看下:
申诉过的朋友应该都知道,如果申诉材料不够,肯定会邮件提示你,姓名、或者其他资料不全,如果没提示,则说明,你提交的材料已经达到了审核标准,我再贴一张图,大家看看跟上图的区别就知道了。。
在这次申诉中,我只用了3样东西,1.姓名;2.常用IP;3.三个刚加的好友。其实满足这三条,申诉的几率应该是90%的。。由上图内容可以推论,达到上述三个条件后,被重置密保的可行性是非常大的。。我也并没有100%的肯定,但是自己确实是这么中招的。。。
事情到此也就有个结果了,经过这次事情,给大家总结了几个经验。
1.陌生人不要加,哪怕只是单向好友,也不要加。。。如果是自己的朋友要社,那只能认栽,没别的。
2.如果密保被重置,请让朋友投诉你的QQ,暂时冻结你的QQ使用权,可以拖延下时间,以免出更大的问题。
3.尽量不要用QQ邮箱做你的密保邮箱,我乌云账号被沦陷,就是个好例子。
如果对方不加你,只是利用你QQ好友里已存在的用户去对你发起验证,以欺骗的方式,让对方配合验证的话,那你只能自求多福了。。。。
我相信,如果腾讯的验证机制不改,这个帖子估计就会变成一个盗号申诉教程了。。哎。。。
最后补充下:有乌币的朋友们,赶紧换密保邮箱吧。。剑总正在改善安全机制,相信很快就会有个结果了,让这些不法分子,无机可乘。。
关于我损失的乌币的事情,希望剑总别补偿了,首先这个也是个人原因,安全意识不足,导致的问题,其次,如果贸然补偿我了,其他受损失的用户也得跟着补偿,这不合适,这个先例不能开。。。给个1WB就OK了,这个帖子,其实不算是什么漏洞,只是发出来,警醒下大家。
本来想继续深入测试申诉这个功能的,但是测试的时间越长,怕其他用户遭受损失,所以就先发出来了。。在深入的话,就挖到腾讯那了。。。
漏洞证明:
看详细说明吧。。。
修复方案:
密码找回最好加入手机短信验证机制,乌币消费,也加上短信验证吧,方便。。。
版权声明:转载请注明来源 鬼魅羊羔@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-09-04 17:36
厂商回复:
感谢楼主的报告,我们的业务人员对相关逻辑进行了确认,并没有缺陷。推测可能是楼主历史资料被盗所致。
最新状态:
暂无