QQ郵箱從被忽略的self-xss到影響多平臺(tái)的高危漏洞

前言:

本文原創(chuàng)作者挖低危的清風(fēng),本文屬i春秋原創(chuàng)獎(jiǎng)勵(lì)計(jì)劃,未經(jīng)許可禁止轉(zhuǎn)載!原文鏈接

起因:

之前挖掘了騰訊郵箱的任意用戶偽造漏洞被忽略了,雖然給了幾十個(gè)幣補(bǔ)償,但就感覺(jué)很難受,于是又在騰訊郵箱開(kāi)始倒騰了起來(lái)。

這次我把重點(diǎn)放在了郵箱的日歷功能,和往常一樣我在日歷中插入了XSS代碼。并設(shè)置好提醒時(shí)間。


image.png

時(shí)間到了我在手機(jī)QQ郵箱中收到了提醒,并觸發(fā)了XSS。


image.png

當(dāng)看到成功觸發(fā)之后,我當(dāng)時(shí)也就沒(méi)深挖了,直接提交給了TSRC。果不其然,第二天一看被忽略了。(內(nèi)心PS:我也知道這是個(gè)self-xss,并且是file域下,是無(wú)法獲取到cookie等信息的。但是心存僥幸-、-,以為不會(huì)被忽略,但現(xiàn)實(shí)始終是殘酷的。)
image.png

被忽略之后呢,我接著進(jìn)行挖掘,終于我在日歷處,發(fā)現(xiàn)了一個(gè)共享日歷的功能。接著我用我小號(hào)進(jìn)行了測(cè)試。


image.png

同時(shí)小號(hào)收到了日歷共享的確認(rèn)郵件。那么一旦點(diǎn)擊加入日歷,就會(huì)觸發(fā)我在日歷中設(shè)置的定時(shí)提醒。
image.png

到這里危害似乎提升了一些了,但是還是存在一些問(wèn)題,必須對(duì)方手動(dòng)確認(rèn)才能加入,這對(duì)攻擊造成了不便。提交的話估計(jì)也就是一個(gè)中危漏洞。(PS:那我肯定不滿足于此)

于是我對(duì)郵件中加入日歷的連接進(jìn)行了分析。想看看是否有CSRF的問(wèn)題,但經(jīng)過(guò)測(cè)試發(fā)現(xiàn)email和sid參數(shù)為當(dāng)前賬戶的一個(gè)標(biāo)識(shí),無(wú)法進(jìn)行更改,一旦更改就無(wú)法成功加入,故這條路猝。
image.png

于是我把重心放在了QQ郵箱APP上,經(jīng)過(guò)測(cè)試發(fā)現(xiàn),郵箱APP中的日歷也提供分享功能,可以把日歷分享給微信好友。(但是這也有缺陷,還是需要對(duì)方手動(dòng)確認(rèn),和之前郵件確認(rèn)加入的差別不大)


image.png

怎么才能擴(kuò)大危險(xiǎn)程度呢,這個(gè)時(shí)候我將這個(gè)分享發(fā)到了我的電腦上的微信客戶端,發(fā)現(xiàn)這個(gè)分享是個(gè)web版的,這個(gè)時(shí)候,我就覺(jué)得可能會(huì)出問(wèn)題。于是我查看了它的源文件和JS文件。
在js中判斷了當(dāng)前ua頭,分別是微信,qq,qq郵箱和web。
image.png

同時(shí)判斷UA頭后進(jìn)行相應(yīng)的跳轉(zhuǎn),而跳轉(zhuǎn)中最關(guān)鍵的識(shí)別碼就是token_code。這個(gè)是類(lèi)似于身份鑒別的,根據(jù)這個(gè)token來(lái)決定你加入的共享。


image.png

而問(wèn)題就出在這兒,這個(gè)token是硬編碼到網(wǎng)頁(yè)中的。并且這個(gè)共享并不會(huì)要求對(duì)方登錄。只要對(duì)方安裝了郵箱APP并且登錄了的即可加入共享。
image.png

那么這個(gè)時(shí)候,我們來(lái)捋一下思路,我們有一個(gè)日歷提醒的self-xss,同時(shí)日歷可以共享,然后我們現(xiàn)在還有了一個(gè)對(duì)方無(wú)需登錄認(rèn)證即可加入分享的功能。
于是我根據(jù)其跳轉(zhuǎn)的主要邏輯,在自己的網(wǎng)頁(yè)中也寫(xiě)入了相同的功能,并且加入了自動(dòng)點(diǎn)擊功能,使其只要訪問(wèn)我的網(wǎng)頁(yè),就能加入到我的日歷共享中。

視頻演示:

鏈接:https://share.weiyun.com/5lC9pUo 密碼:wam5hq

結(jié)果展示:

WEB,QQ,微信全部受影響。
image.png

image.png

image.png

總結(jié):

有時(shí)候漏洞危害小,也不要放棄,合理利用也能造成嚴(yán)重危害。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容