最新消息:
    你的位置:jinglingshu的博客 > 别人经典渗透过程学习 > 腾讯申诉机制存在缺陷引发的一系列血案

    腾讯申诉机制存在缺陷引发的一系列血案

    别人经典渗透过程学习 admin 1935浏览 0评论

    披露状态:

     

    2013-09-04: 细节已通知厂商并且等待厂商处理中
    2013-09-04: 厂商已经主动忽略漏洞,细节向公众公开

    简要描述:

    腾讯申诉机制存在缺陷

    详细说明:

    9月3日下午16:25分左右,QQ意外被黑,发现问题后,我的第一反应就是用密保来修改密码,因为当时着 急,没仔细想,结果就发现,密保居然不正确了(返回头想,更改QQ密码,除非手机宝令绑定,或者超级QQ绑定后,才可以直接更改密码,其他更改措施,都需 要密码保护来验证,既然密码不正确了,密保肯定也就被重置了,当然无法更改了。)

    下图为QQ被盗的原因,就是申诉:

    进一步检查发现,出了QQ密码,密保手机、手机宝令、QQ密码保护等措施,全部被人重置了,于是我直接联想到了QQ申诉,当然了,QQ申诉必须具备几个条 件,姓名、常用IP、三个人以上的QQ好友辅助验证以及曾用密码,才可以重置QQ密保,我一直以为是QQ申诉出来新的漏洞了,可以直接秒杀(后来一琢磨, 发现不是QQ漏洞的问题,因为申诉我的号码,他已经具备了几个条件,我的名字是公开的,这个条件成熟、常用IP可以直接代理,也成熟,常用密码的话,有 QQ裤子就好说,直接查询历史密码,这还不够,问题就出在最关键的QQ好友辅助上了,我是栽到这里了。)

    先不多说,我先贴几张图,咱看图说话。。。

    大家注意下2013-09-03 16:29分的纪录,是申诉审核通过后的,大家也知道,申诉审核时间,是4小时之内,但是通常2小时就会有结果了,估计申诉时间大概是下午2点前后,申诉 成功后,直接开始更改我的密码和密保资料,幸运的是我在他重新设置密保资料之前,就提交了一次申诉材料,当然了,我知道的账号信息肯定比他要全,毕竟是我 自己的号。

    0416101983b1469641d9adc31d10b667b5f6f48a

    QQ被重置以后,当时只顾着着急QQ本身了,却忘了攻击者的真正意图,当时就想到了乌云账号会不会受牵连,因为我乌云的的密码找回邮箱,就是QQ邮箱,我 登陆乌云,发现密码果然被修改了,果不其然,在修改我的密保以后,第一件事,就是进我的QQ邮箱,因为我QQ邮箱设置了独立密码,他又用设置好的密保,重 置了我的独立密码,进入了邮箱,大家看下IP地址,是代理的呼和浩特市,跟我的常用IP很接近,但是,还是有区别的。。这就说明,这个家伙在登陆我邮箱的 时候,用的依然是代理,也就是被盗QQ的常用IP地址,这是满足申诉的第一个重要条件。

    04161739059dd8c60726f228d965c26381e84beb

    后来找回密码以后,我进入邮箱,发现了这个,原来,攻击者在重置了我QQ邮箱独立密码以后,就直接奔我的乌云账号去了,通过乌云账号密码找回功能,直接修 改了我的乌云密码,并且转账走了33乌币,攻击者的真正目的,是乌云的乌币,我的QQ号,只是连带误伤而已,在已删除邮件中找到了这个,看下图:

    04161913b963bffbeee2ed67da05efb856b6f1e7

    下面是攻击者进入我乌云账户后进行的转账截图:

    041620185dc3976fba7f5c10258a9287eb652528

    出去办了点事情,回来,我的小伙伴们已经有个结果了:

    陈再胜小朋友在看到乌云账号被盗的消息后,第一时间成功的射到了这个家伙的乌云密码,但是果不其然,是个小号,也不知道是转几次的小号了,WB直接转给了xcloud这个账号,估计这个账号也是个小号,肯定又转到了另外一个账户上:

    04162226d56facd4fb98de8c8e83443a196767ac

    (后来根据这个账户的拥有者说,他的账户是被人恶意找回了,用他的号来栽赃陷害的,并不是他所为,这个具体是不是,就没地方考证了,但是如果真是栽赃的话,那这个事情就变的更复杂了)

    仔细回想了下,最近加我的人实在太多了,大部分都是加进来,不说话,要么就是无限次的重复一句话,之前没在意,出了这事儿后,我才明白过来,这就是申诉找 回的最重要的一个环节,加你,不是为了聊天,而是为了后续的好友辅助申诉,我也不知道具体是哪个人,我还是先贴出来吧。。误伤了莫怪。。

    04162409ed42b9aacfe66ca9035ca5848d7c867f

    后来有人反映,这些QQ号当中,有一个人加了不少白帽子,而且,多数是有事没事的说话,比较可疑,具体是哪个,我也没证据,大家自己斟酌吧。。

    最近加的这些人,行为真心古怪,反复的问我:“在吗?”,我回答后,就没动静了,第二天,还是回重复同样的话,问你在不在。

    当然了,这些人,我都是单向好友,也就是我同意他们加我好友,但是我并没有加他们。

    后来琢磨了下,这样的话,如果也能被申诉,那么只有一种可能性,腾讯不会验证对方是否在你的好友列表当中,而是把经常聊天的人当做了常用联系人,也就是默认成了好友,就算你好友没加他,对方一样可以进行辅助申诉。

    我忽略了一个问题,还可以根据QQ空间信息,加上对方的好友后,说号被盗了如何如何,然后让帮忙配合申诉,这样也可以申诉成功的。对方加你其他朋友的QQ 后,先不说话,当你直接收到一封“QQ密保好友辅助”的邮件后,忽然告诉你,说是号被盗了,需要填下申诉回执单,很紧急,你的第一反应是什么?我想,很多 人看到邮件提示的是自己朋友的QQ号,基本不会怀疑,肯定是先着急的填写验证信息后,才会想起来问对方,你是不是某某某人?你号怎么会丢呢?当你填写完成 后,你问什么,都已经没有意义了。。。。如果我加对方10个好友,广撒网,那配合申诉的命中率是多少呢?我相信,超过三个,是轻轻松松的。。。这样的 话,QQ密保被重置的概率就很大了。

    为了验证这个可行性,我跟陈再胜继续做了次测试,在单向好友的情况下,是可以邀请对方进行好友辅助的(比如说:攻击者QQ为:4444,我的QQ 为:5555,4444用户加我为好友,我只点了同意,也就是说,我并没有加他,而我,却在对方的好友名单里,这样的话,在对我5555这个号进行申诉 时,攻击者4444同样可以收到好友辅助验证的邮件,也就是说,攻击者就算不在你的好友列表当中,一样可以有资格进行好友辅助验证,一旦成功验证人数超过 3个,那么,QQ被申诉的几率是多大呢?由于曲子龙没有及时响应我的测试,导致申诉失败,我先贴个图,大家先看下:

    04163132b7e744a69dd78709c7513d67cb3cab5d

    申诉过的朋友应该都知道,如果申诉材料不够,肯定会邮件提示你,姓名、或者其他资料不全,如果没提示,则说明,你提交的材料已经达到了审核标准,我再贴一张图,大家看看跟上图的区别就知道了。。

    041633411ad653ccc4e208743628cf7568e736b9

    在这次申诉中,我只用了3样东西,1.姓名;2.常用IP;3.三个刚加的好友。其实满足这三条,申诉的几率应该是90%的。。由上图内容可以推论,达到上述三个条件后,被重置密保的可行性是非常大的。。我也并没有100%的肯定,但是自己确实是这么中招的。。。

    事情到此也就有个结果了,经过这次事情,给大家总结了几个经验。

    1.陌生人不要加,哪怕只是单向好友,也不要加。。。如果是自己的朋友要社,那只能认栽,没别的。

    2.如果密保被重置,请让朋友投诉你的QQ,暂时冻结你的QQ使用权,可以拖延下时间,以免出更大的问题。

    3.尽量不要用QQ邮箱做你的密保邮箱,我乌云账号被沦陷,就是个好例子。

    如果对方不加你,只是利用你QQ好友里已存在的用户去对你发起验证,以欺骗的方式,让对方配合验证的话,那你只能自求多福了。。。。

    我相信,如果腾讯的验证机制不改,这个帖子估计就会变成一个盗号申诉教程了。。哎。。。

    最后补充下:有乌币的朋友们,赶紧换密保邮箱吧。。剑总正在改善安全机制,相信很快就会有个结果了,让这些不法分子,无机可乘。。

    关于我损失的乌币的事情,希望剑总别补偿了,首先这个也是个人原因,安全意识不足,导致的问题,其次,如果贸然补偿我了,其他受损失的用户也得跟着补偿,这不合适,这个先例不能开。。。给个1WB就OK了,这个帖子,其实不算是什么漏洞,只是发出来,警醒下大家。

    本来想继续深入测试申诉这个功能的,但是测试的时间越长,怕其他用户遭受损失,所以就先发出来了。。在深入的话,就挖到腾讯那了。。。

    漏洞证明:

    看详细说明吧。。。

    修复方案:

    密码找回最好加入手机短信验证机制,乌币消费,也加上短信验证吧,方便。。。

    转载请注明:jinglingshu的博客 » 腾讯申诉机制存在缺陷引发的一系列血案

    与本文相关的文章

    发表我的评论
    取消评论

    表情

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址