黑客教你查询某人信息(微信号查手机号黑科技)
1. QQ空间某处正则混乱,导致恶意构造。
2. QQ空间某文件存在潜在风险
3. 1+2 = 此漏洞
详细说明:
1. 一开始的目标是这个http://b.qzone.qq.com/cgi-bin/custom/modify_custom_window.cgi,这个页面是用来修改QQ空间模块内容的。这里我选择提交的是FLASH模块。 由于此请求,每请求一次都需要输入一个验证码,所以没办法直接在抓包工具里修改并发送。所以最初是用调试工具去修改DOM属性,然后写自定义值来一次一次的试,后来实在觉得太麻烦了,就自己临时写了个小工具。以下测试均用此工具进行,如下,
2. 开始试了此请求的几个参数(这里的参数是指qzml所发送的xml里的若干属性,例如width, height ,wmode etc ..),都被过滤了, 后来懒么,就把能写入内容的都改成了'\/<>..,结果侧漏了。。
测试的qzml请求参数大概是这样:encodeURIComponent(' xxx '.replace(/\s/g,"+")).replace(/%2B/g,"+");
侧漏效果大概如下:(反正是类似这个效果,懒的回去抓图了。)
3. 开始分析侧漏原因。 发现height属性把其它属性都吞掉了。 于是其它参数复原,单个测试height,在height里加入单引号时, 服务器端的正则貌似就凌乱了。 同样有此现象的还有swfsrc 。
因为服务器那边是怎么匹配的,不清楚, 于是就开始各种构造测试,看服务器端输出。
反正测试了挺久。 具体就不详述。 因为服务器端输出的embed标签里,总是带着allowscriptaccess="never",导致我们调用的FLASH来执行脚本,所以最终目的,就是想用height来屏蔽掉allowscriptaccess="never" 。
(责任编辑:网络)