漏洞概要
关注数(24)
关注此漏洞
漏洞标题:QQ邮箱Flash跨域数据挟持(可蠕虫、收发邮件、查看好友列表等)
相关厂商:腾讯
提交时间:2015-09-17 10:22
修复时间:2015-11-01 11:38
公开时间:2015-11-01 11:38
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-09-27: 细节向核心白帽子及相关领域专家公开
2015-10-07: 细节向普通白帽子公开
2015-10-17: 细节向实习白帽子公开
2015-11-01: 细节向公众公开
简要描述:
[第二弹]老问题,老漏洞,估计又要刷起这一类漏洞了
详细说明:
漏洞原理:(http://drops.wooyun.org/tips/2031)
一个Flash文件(或以图像包装的Flash文件)在victim.com上传然后于attacker.com下嵌入,它只能在attacker.com下执行JavaScript。但是,假如该Flash文件发出请求,那么它可以读取到victim.com下的文件
利用过程:
1. 攻击者建立一个恶意Flash(SWF)文件
2. 攻击者更改文件副档名为JPG
3. 攻击者上传档案到victim.com
4. 攻击者在attacker.com以标签及application/x-shockwave-flash类型嵌入该文件
5. 受害者浏览attacker.com,并以SWF格式载入该文件
6. 攻击者现在可以透过该SWF并以受害者的session向victim.com发出及接收任意请求
payload
<object style="height:1px;width:1px;" data="http://victim.com/user/2292/profilepicture.jpg" type="application/x-shockwave-flash" allowscriptaccess="always" flashvars="c=read&u=http://victim.com/secret_file.txt"></object>
先看QQ邮箱的 crossdomain.xml 文件
允许这两个域名的所有子域名进行跨域请求,因此我们找到一个可以上传swf格式的图片文件的地方,过程花了点时间,最终上传了我们的文件 地址:
http://join.qq.com/upload/photo/150914/439a57750ce65071b5cdbdaf0ce3bb7e.jpg
接下来进行第四步,构造网页嵌入文件
只要让受害者访问我们构造的页面,就可以以对方的身份来请求QQ邮箱的链接。(为了保证成功,可通过发送邮件,确保对方处于登录状态。)
QQ 邮箱中,要执行操作需要一个SID 参数,我们寻找网页页面中泄露sid 的页面,花了点时间找到一处
http://mail.qq.com/cgi-bin/mail_spam?action=check_link&url=http://1.ssrf.sinaapp.com/11.html
有了sid基本可以操作邮箱的各种操作了
好友列表
:
http://set1.mail.qq.com/cgi-bin/laddr_lastlist?sid={SID}&t=addr_datanew&category=hot
访问邮件列表:
http://set1.mail.qq.com/cgi-bin/mail_list?sid={SID}&page=0
发邮件
:
http://set1.mail.qq.com/cgi-bin/compose_send?sid={SID}
当然要想成功利用CSRF,还需要绕过QQ 邮箱的referer 限制
一开始打算用 <meta name="referrer" content=“never"> 标签,但似乎支持的浏览器少,后面经过测试,发现只要referer 的主机域名包含mail. 字符串,也就是任何一个域名有mail域名,如 mail.xx.com 就可绕过QQ 邮箱的referer 限制了 。
测试过程主要有三个地方
1、找到上传swf 格式的图片文件的qq域的网站
2、找到泄露sid 的页面
3、绕过referfer限制
漏洞证明:
最终效果呈现
(均需在登录情况下,利用环境可通过发送邮件,诱使对方点击,可用短地址)
1、获取并显示QQ通讯录 http://mail.virtualplat.com/qquser.html
2、发送一封邮件到指定邮箱 http://1.ssrf.sinaapp.com/qqsend.html
修复方案:
crossdomain.xml 问题,QQ 业务复杂繁多,如果不从crossdomain.xml 限制起,很难防护。
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-09-17 11:37
厂商回复:
感谢反馈,问题已确认,正在处理中。
最新状态:
暂无