您的足迹:首页 > 原创文章 >“QQ群共享”跨群上传BUG 事件进展及技术分析

“QQ群共享”跨群上传BUG 事件进展及技术分析

    24号的时候就发现群共享里多了个病毒压缩包,然后25号又有。

    本来以为是群里的人传的,但是看不到昵称,不知道是谁发的,然后就删了。

    结果就是那天,又莫名其妙的来了个文件,都是这些病毒和流氓软件捆绑压缩包,我很纳闷,既然是群里传的为啥不显示昵称?说明他们不在群里,那么是不是进来之后退掉了呢?我在网页端查了下该人QQ号码,发现反反复复查到的QQ号码就那几个,分别就是:1944387510、2603049714、2561114273。

    我想,难道仅仅是我的这几个群有这些?我有五十多个群,我随便开了一个,结果惊讶的发现那个群一样的文件,上传者也是一样的,然后打开了所有群看群共享,发现有二十多个群有同样的病毒压缩包,QQ上传者不出那三个,他们都不在群里。一天一个QQ貌似最多就允许加10个群左右吧就得出验证码之类的,然后说你网络有问题就不让你加了,何况他们QQ号码等级那么低,根本不可能一天至少窜20多个群,我还询问了其它的群主,都表示曾经有这个文件,但是看到之后没当回事删掉了。

    这个就比较可疑了,为啥会这样?这不禁让我想起2011年的时候我发现的那个QQ微博BUG,也就是不知道你密码的情况下,我可以随意上你QQ微博,然后去修改你的资料。当时我发现后,小范围内我们都耍了耍人,开开玩笑,比如跟对方说你QQ被我盗了,然后改他微博名吓唬他们玩,让他改密码之类的之后再改他的微博,有的人甚至重装了系统,现在想想真是比较有意思,不过我们沒拿这个漏洞做坏事之类的。

    后来有个懂一点的人感觉我随便改他资料不太对劲,然后问我,本来没想告诉他,但是他老问,我就截了个微博面板的图给他看,然后这家伙似乎知道了一点东西了,研究了一夜终于懂了方法。我跟他说千万不能外传方法,不然会影响到别人的,这家伙满口答应。没想到一天之后,我随便在网上找东西的时候,看见了一个改微博资料的教程,打开一看我非常生气,就是那家伙做的教程教别人改资料,我十分生气,然后我的其他一些朋友有认识腾讯技术人员的,立刻联系了相关人员,只过了几天就封上了这个洞,具体原因就是修改资料的时候没有校验ClientKey的有效性。

    这不仅让我联想到这次的QQ群共享事件,我开了抓包工具看了下,发现有个header重定向转向到QQ群共享的页面的,我猜那些人就是这么做的,不过具体ClientKey和长群号的算法我不是很清楚,也没兴趣研究了。

    26号我确定事情是这样以后,立刻微博联系了QQ安全中心和相关的客服,QQ安全中心表示此事已经联系相关同事,但尚未找到原因,不过我相信腾讯的实力,应该会很快解决的。何况马总天天说“安全QQ”,他们应该会重视起来。

 

病毒文件名,小心谨慎!

李宗瑞迷奸60位女明星偷拍视频流出.zip

QQ农场无限刷金币辅助2012年8月XX日更新.zip

蛋疼Q群号XXXXXXXXX.zip

各种门事件合集视频 低调传播 防止和谐.zip

QQ农场刷水晶.zip

 

以上是目前已经收集到的文件名,特点就是上传者无昵称且不在群中,从未入过群。24-26日刷的文件下载次数超过十几万,27号到现在刷的文件下载次数在几千左右,这样的文件一定小心,群主看到一定要及时删除!

 

事件进展:

26日,鄙人向腾讯QQ官方发起投诉,腾讯官方人员表示需要联系客服人员。

27日,腾讯官方表示没有发现漏洞,认为是鄙人个人的问题,再次发起投诉,腾讯官方要求提供具体群号,但是“躺着也中枪”的群号十分多,故没有提供。

28日,多人发现此问题,均与鄙人一起投诉,腾讯官方人员依旧认为没有问题,但此时病毒压缩包已经铺天盖地而来。

29日,鄙人表示腾讯依旧没有修复问题,再次提醒官方人员。

30日,经过多人投诉和警告,腾讯终于承认群共享存在跨群上传漏洞,并“低调”封禁。

此漏洞从发现至今,共花费六天解决,若是腾讯相信用户的汇报,及时经过仔细排查,我相信凭腾讯的人员技术,两天就能解决。

 

漏洞技术分析(原创,转载务必保留本文章地址):

因为在八月三十日,腾讯已经修复漏洞,已经无法使用该漏洞,故我(Lance)发出本技术分析文。

该漏洞利用QQ群共享BUG——跨群上传,可实现不加群上传文件。具体利用方法如下:

1.新注册一个QQ号码,仅加任意一个群,设该群号为1234567。

2.打开QQ,并打开刚才加的那个群,利用Cheat Engine工具(俗称CE)搜索刚才的群号。

3.关掉群窗口,并多次搜索刚才的群号。

4.将得到的基址的项内容全部改为你要改成的QQ群号码,然后再次打开该QQ群聊天窗口。

5.你会发现你原来的QQ群号码已经变成了你要改成的QQ群号码。

6.打开群共享,直接上传文件即可。

不法分子可能利用此原理制作了批量修改并自动上传的工具。在这里,我呼吁,发现漏洞应及时向相关涉及公司及人员汇报,以便于他们快速修补漏洞,而不是将漏洞告知于其它不法人员牟利,这样首先是不道德的另外用于非法用途更是违法的。及时通知相关公司可以防止甚至避免其它用户利益受到损害。

 

仅仅是通过这两件事情,腾讯也应该检讨一下是否某些设计确实不周,应对整体安全性进行检查,积极响应用户的反馈,不然“安全QQ”仅仅是一句空话。

本博客所有文章如无特别注明均为原创。作者:Lance.Moe复制或转载请以超链接形式注明转自 Lance's Blog
原文地址《“QQ群共享”跨群上传BUG 事件进展及技术分析

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(8)

买了条吉娃娃养了2月结果发现是哈士奇。
www2.jjj.com 4年前 (2013-04-30) 回复
博主很有正义感,不过也要小心枪党啊
匿名好友 4年前 (2012-12-06) 回复
请问一下楼主 NtrQQ 什么时候可以发个终极的正式版?
银狼驰骋 5年前 (2012-09-29) 回复
太方便了什么都有
天猫商城 5年前 (2012-09-19) 回复
修复一下有用吗
孕妇装 5年前 (2012-09-11) 回复
0 0很给力的分析,当时找了半天网页没找到漏洞,原来是在客户端这里的问题= =
Coxxs 5年前 (2012-09-02) 回复
博主很厉害,我是看你的帖子来的。QQ2012 正式版 通讯录修复为窗口补丁。希望您能传一个给我huao@vip.qq.com 2012太蛋疼了,通讯录换成了PIM网站,超级QQ发短信一点也不方便。求!
2货 5年前 (2012-09-02) 回复
谢谢提醒
小龙 5年前 (2012-08-30) 回复