腾讯QQ利用QQ空间强制聊天漏洞

浮尘 · 发表于 2015-8-3 17:44:31

今天在网上看到有人发了强制聊天的工具，是web版的，于是谷歌了一下。找到了由杨元公布在乌云网上的bug，顺便测试了一下，可惜腾讯已经修复了。（表面上腾讯忽略了杨元的报告）

在QQ空间中，有一个谁看过我的功能，然后我们把鼠标移到他们的头像上，会弹出一个信息卡片。

信息卡片上有一个聊天功能，也就是这个接口，出现了严重的bug。抓包发现聊天的接口为：

http://r.cnc.qzone.qq.com/cgi-bi ... amp;g_tk=1593160781

里边有两个重要参数qzone_uin发起QQ(以下简称sender)，to_uin接收QQ(以下简称receiver)，指定这两个参数后，请求接口，返回信息如下：

<script type="text/javascript">







</script>

这里边又有三个非常重要的数据，经过大量实践，发现：uin是接收人的QQ，SigT是receiver的指纹，SigU是sender的指纹。

由此可见，有了这两个指纹，然后访问tencent://message/接口，就可以发起临时会话。

这里边又有三个非常重要的数据，经过大量实践，发现：uin是接收人的QQ，SigT是receiver的指纹，SigU是sender的指纹。

由此可见，有了这两个指纹，然后访问tencent://message/接口，就可以发起临时会话。

那怎么实现强聊呢？

小虫直接说结论，想强聊，必须知道自己一个好友的QQ号和被聊人一个好友的QQ号。这两个条件均不难实现，自己的QQ好友您还不知道么。。。而被聊人的QQ好友，也是很容易获取的，比如你想和你同班的美女聊，那么班主任的QQ就是切入点。

为什么需要这么奇怪的条件呢？小虫直接演示。

假设有四个角色，分别是A(发起人)，AF(发起人好友),B(接收人),BF(接收人好友)

第一步，我们需要在A和AF间建立一个通道，将A作为聊天的发起人，可以这样构造URL：

http://r.cnc.qzone.qq.com/cgi-bi ... amp;g_tk=1593160781

在服务器返回的参数中，我们拿到SigU参数，这个也就是A作为sender的指纹。

第二步，我们在B和BF间建立一个通道，将B作为聊天接收人，可以这样构造URL：

http://r.cnc.qzone.qq.com/cgi-bi ... amp;g_tk=1593160781

在服务器返回的参数中，我们拿到SigT参数，这个也就是 B作为receiver的指纹。

接下来我们把这两个指纹混合在一起，访问tencent://message/接口（别忘了加上最基本的uin参数，接收人QQ），恭喜，可以聊天了！

等等，好像有大问题，假如B和BF不是好友呢？我们并不能保证他们一定是好友，也就是说，我们是猜的。

聪明的你可能已经发觉了，这个接口可以测试两个QQ号码是不是好友(前提是被测者未开通QQ在线状态，如果一方开通了这个服务，可以尝试将sender、receiver反过来)！！！

这是多么邪恶的接口！

不法分子可以通过这个接口收费帮别人测试好友，进而导致情侣隐私泄漏，夫妻感情破裂，进而导致社会不和谐，进而导致生产力下降，进而导致科技停止发展，严重阻碍人类进化。

最后，补充一句，通过这个方法发起的临时会话，即使没有开启QQ在线状态服务也是可以的，除非你屏蔽了所有临时会话。

Te5tB99 · 发表于 2015-8-3 17:46:00

最佳拍档，白哥来支持你一下。

asion · 发表于 2015-8-4 18:59:28

还是不错的哦，顶了

CHRIS · 发表于 2015-8-4 23:07:17

感谢楼主的分享~

wtsqq123 · 发表于 2015-8-5 19:28:17

小龙 · 发表于 2015-8-5 22:28:26

学习学习技术，加油！

小龙 · 发表于 2015-8-6 08:11:13

cl476874045 · 发表于 2015-8-6 21:29:46

H.U.C—Prince · 发表于 2015-8-7 10:04:37

学习学习技术，加油！

borall · 发表于 2015-8-7 10:38:12

感谢楼主的分享~

[教程专区] 腾讯QQ利用QQ空间强制聊天漏洞

评分

指导单位

旗下站点

联系我们