漏洞概要

缺陷编号:WooYun-2012-11720

漏洞标题:微信任意用户密码修改漏洞

相关厂商:腾讯

漏洞作者:only_guest

提交时间:2012-09-04

公开时间:2012-10-19

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源:http://www.wooyun.org

Tags标签:无

漏洞详情

披露状态:

2012-09-04:细节已通知厂商并且等待厂商处理中

2012-09-04:厂商已经确认,细节仅向厂商公开

2012-09-14:细节向核心白帽子及相关领域专家公开

2012-09-24:细节向普通白帽子公开

2012-10-04:细节向实习白帽子公开

2012-10-19:细节向公众公开

简要描述:

腾讯微信任意用户密码修改.

详细说明:

今天发现个微信群发的漏洞.还没玩.就被修补了.

于是就有了这个漏洞的产生.

同样问题产生在重置用户密码的环节.

在微信官方的首页上发现新增了如下功能模块

腾讯微信任意用户密码修改漏洞

访问后看到这个功能.来了兴趣

腾讯微信任意用户密码修改漏洞

在这个页面输入一个已经注册了微信的手机号.

腾讯微信任意用户密码修改漏洞

得到如下提示

腾讯微信任意用户密码修改漏洞

选择我已收到验证码就跳转到一个修改密码的页面,如下

腾讯微信任意用户密码修改漏洞

在这一步抓包.得到如下包文

check=false&phone=18666666666&t=w_password_phone&isemail=0&value=18666666666&method=reset&country=A86&getmethod=web&password=zzzzzz&password2=zzzzzz&verifycode=1234

将包文中的verifycode进行重复提交后发现会提示

腾讯微信任意用户密码修改漏洞

这样的话.就要想办法去突破.

经过一系列尝试后发现如果在phone=18666666666的号码后面添加不为数字的字符时,可以绕过此限制.于是推理出其判断方法

如果phone=18666666666的尝试次数大于阀值,则提示请求过于频繁

但在这一步之前没有对phone进行提纯.所以可以将特殊字符带入

但在下一步的时候进行了提纯.只取了phone中的数字部分.

然后在取出此号码的verifycode进行比对.

比对成功则修改密码

腾讯微信任意用户密码修改漏洞

修改密码成功.

这个地方的薄弱环节在于微信重置密码的验证码为4-5位纯数字.

且数字范围在1000-20000之间

也就是说.我只要尝试19000次.我用50个线程发包.3分钟即可成功修改一个密码.

在发现此漏洞后.我修改了两个人的微信帐号.

一个是最近很喜欢的明星柳岩的经纪人

柳岩在微搏上公布了经纪人的手机号.

成功修改进入后.通过微信自带的离线消息查看功能.可以成功查看其所有QQ好友

于是得到了柳岩的QQ号..但是拒绝添加好友了..伤心

这里由于隐私原因.就不上图了.

另外一个是腾讯的某高管.我在百度上搜索到了腾讯高管的list

然后通过list里的手机号修改了其密码.和尊敬的马化腾马大哥进行了一次亲密的交谈.

由于夜深了.他不在线.所以没收到其回应.附图几张.

腾讯微信任意用户密码修改漏洞

腾讯微信任意用户密码修改漏洞

和马哥开了个小玩笑.

然后找到了最近正好很火的周鸿祎手机泄漏的视频.

同样通过音频分析得到号码.尝试修改其微信密码..

发现周哥果然没有注册微信.放弃了尝试.

漏洞证明:

腾讯微信任意用户密码修改漏洞

修复方案:

增强下机制吧.

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-09-04

厂商回复:

感谢反馈,我们正在跟进处理。

最新状态:

2012-09-04:我们已经修复了此问题,非常感谢您的报告。

2012-09-04:感谢乌云社区和这位漏洞发现者。收到乌云通知之后,我们已第一时间屏蔽该BUG,避免被恶意利用。

相关评论:

2012-09-04 05:13 | only_guest (核心白帽子 | Rank:638 漏洞数:62 | PKAV技术宅社区-专心做技术.)

www.pkav.net 发表了漏洞详情.会在漏洞修复后公开 但是鉴于乌云的WB查看漏洞机制.会晚点公开

 

2012-09-04 07:00 | 风萧萧(核心白帽子 | Rank:521 漏洞数:38 | 风萧萧兮易水寒,人生难觅是直男)

我信洞主

 

2012-09-04 07:13 | shine (核心白帽子 | Rank:677 漏洞数:55 | coder)

楼主又风骚了!

 

2012-09-04 08:22 | Coody ( 普通白帽子 | Rank:191 漏洞数:25 | 说点神马(⊙o⊙)?)

骚年

 

2012-09-04 08:36 | Jannock (核心白帽子 | Rank:1168 漏洞数:101 | 关注技术与网络安全)

@only_guest 昨天才说,今天大牛就发表了。。。赞。。。

 

2012-09-04 09:15 | se55i0n ( 普通白帽子 | Rank:281 漏洞数:41 | good good study,day day up!)

好骚年~

 

2012-09-04 09:25 | 水滴( 普通白帽子 | Rank:129 漏洞数:22 | 水)

我信洞主

 

2012-09-04 09:37 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥,你玩儿黑客,你玩它有啥用啊!)

......逆天吧你就!

 

2012-09-04 09:46 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥,你玩儿黑客,你玩它有啥用啊!)

李先生在微信里么 有好友列表么?

 

2012-09-04 09:48 | gainover (核心白帽子 | Rank:911 漏洞数:45 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@xsser = =李开复么?哈哈

 

2012-09-04 10:01 | 风萧萧(核心白帽子 | Rank:521 漏洞数:38 | 风萧萧兮易水寒,人生难觅是直男)

@gainover 更相信是李彦宏呢

 

2012-09-04 10:09 | Xhm1n9 ( 普通白帽子 | Rank:57 漏洞数:13 | bug)

微信验证码短,且数字确实能搞

 

2012-09-04 10:11 | p.z (核心白帽子 | Rank:300 漏洞数:20 | 我在沉默中被放屁惊醒)

@gainover @xsser想和27.5G的主角合影已经不是一天两天的事了。

 

2012-09-04 10:12 | bing ( 普通白帽子 | Rank:43 漏洞数:6 | 草泥马)

洞主日李万吉啊

 

2012-09-04 11:02 | zeracker ( 普通白帽子 | Rank:891 漏洞数:117 | 前面的帅锅,你的腰子掉了。)

你知道的忒多了

 

2012-09-04 11:03 | davie ( 实习白帽子 | Rank:22 漏洞数:2 | 关注安全)

楼主瓣膜

 

2012-09-04 11:05 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

@p.z -_-||

 

2012-09-04 11:10 | rootkit ( 实习白帽子 | Rank:0 漏洞数:1 | )

膜拜啊

 

2012-09-04 11:15 | dengyunxuan ( 实习白帽子 | Rank:5 漏洞数:2 | 重围)

求密码

 

2012-09-04 11:23 | gainover (核心白帽子 | Rank:911 漏洞数:45 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

@p.z 原来如此~~

 

2012-09-04 12:07 | 冷静( 实习白帽子 | Rank:3 漏洞数:1 )

最帅的男人也是预言师,感觉有漏洞就真的有-_-

 

2012-09-04 12:15 | only_guest (核心白帽子 | Rank:638 漏洞数:62 | PKAV技术宅社区-专心做技术.)

@xsser 还真忘了...只记得去搞周鸿祎了

 

2012-09-04 14:08 | 一刀终情( 普通白帽子 | Rank:118 漏洞数:24 | ??PKAV技术宅社区-安全爱好者)

帅呆了,插一脚

 

2012-09-07 10:00 | 街球幽灵( 实习白帽子 | Rank:7 漏洞数:1 | just for you --得之我幸..失之我命!!)

膜拜洞主~

 

2012-09-10 09:39 | 冷冷的夜(核心白帽子 | Rank:130 漏洞数:11 | 想去毕业旅行)

我草,膜拜下

 

2012-09-10 11:19 | 一刀终情( 普通白帽子 | Rank:118 漏洞数:24 | ??PKAV技术宅社区-安全爱好者)

从多处看 @p.z 大神真是个淫荡的大神~~求证@xsser

 

2012-09-10 12:03 | p.z (核心白帽子 | Rank:300 漏洞数:20 | 我在沉默中被放屁惊醒)

@一刀终情 这些都是xsser言传身教的结果,@xsser 节日好。

 

2012-09-10 17:27 | 一刀终情( 普通白帽子 | Rank:118 漏洞数:24 | ??PKAV技术宅社区-安全爱好者)

@p.z @xsser 剑老师,节日好

 

2012-09-11 15:22 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

外部关联:http://pkav.net/2012/09/%E5%BE%AE%E4%BF%A1%E4%BB%BB%E6%84%8F%E7%94%A8%E6%88%B7%E5%AF%86%E7%A0%81%E4%BF%AE%E6%94%B9%E6%BC%8F%E6%B4%9E/

 

2012-09-11 15:23 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥,你玩儿黑客,你玩它有啥用啊!)

@horseluke 坑爹啊 还等着赚乌云币呢

 

2012-09-11 15:34 | horseluke ( 普通白帽子 | Rank:84 漏洞数:14 | Realize the dream in earnest.)

@xsser ,@only_guest 都已经赚了不少wb了吧......连超级玛丽都给他充值了.....

 

2012-09-13 09:43 | none ( 实习白帽子 | Rank:0 漏洞数:1 | 十次十次啊 这个昵称可能要霸气些)

"经过一系列尝试后发现如果在phone=18666666666的号码后面添加不为数字的字符时,可以绕过此限制" 虽然一句话带过 但是感觉过程之艰辛

 

2012-10-19 11:30 | xsser (核心白帽子 | Rank:249 漏洞数:17 | 大哥,你玩儿黑客,你玩它有啥用啊!)

@none 懂的人这是

 

转自:http://www.wooyun.org/bugs/wooyun-2010-011720