欢迎各大公众号转发分享~
TSRC已经忽略啦,别费劲提交了,除非有师傅有思路,看看能不能扩大危害给他搞个RCE什么的,弄出来麻烦@我一下学习学习~(该漏洞无危害可以公开,不是在冲)
在维护ICPscan工具的过程中,与小群的师傅讨论代码逻辑优化问题的时候,突然产生了严重对话内容偏差,一段RE正则规则当中,出现了突兀的 ” “,这个地方是存在随机内容的,不应该是空。这让我产生了疑惑,随即与师傅进行确认,我又重发了一遍代码,结果其他群员都看不到我发的内容,又离奇消失了。
(r'<a href="/company/.*?">(.*?)</a>)')
这时候反应过来,应该是这段代码被微信解析掉了,并且存在两种情况,第一种是发送后大部分代码都在,例如变成这样
(r'<a href=" ">(.*?)</a>)')
?????怎么回事,我们的代码呢?怎么全都不见了,紧接着再多测试几个代码,最终确认,目前仅有<a>标签会产生这种情况(也有可能其他标签也可以,没测那么多而已),并且还需要进行闭合,最后代码就是这样
如果我们用复制的方式,就会只留下一个“1”,其他代码全部消失了。
个人认为这个漏洞应该还是有一定利用价值的,不过会比较恶心人一点,举个例子应用在当前大事件公司裁员当中:
当这样构造了话术,在对方那显示的就是正常的沟通,会确认是经理级别的待遇,同意了这个说法,而另一头显示的却是向公司提出口头离职,由人事部门发送聊天消息记录来确认这个情况,从而实现无成本开除一名员工。
甚至可以用来钓鱼或者传播不法内容能够逃避普通的监管,以下为举例,请勿进行违法犯罪活动。
钓鱼域名是 dyqq.com,真实域名是 qq.com,那我就可以利用这个漏洞来进行钓鱼,构造如下恶意域名
在对方视角中显示是这样的,并且由于微信自带高亮,这时候就会让被害者认为访问是正确的,登录的是 qq.com,但是当被害者复制这段信息,然后到浏览器试图登录的时候,由于这个漏洞,就会导致用户去访问钓鱼网站 dyqq.com,而不是真正的qq.com,这样就完成了一次攻击。下次护网师傅们可以构造一下话术,试试看哈哈哈。
由于用户对微信的信任,以及高亮代码是真正的 qq.com 从而导致用户无防备心理就进行了访问,并且输入账号密码被黑客截获。
表面看起来是qq.com,但是复制之后就会发现,其实qq.com只是一个文件夹命名,会被直接跳转到恶意构造的钓鱼网站当中去,我们只需要在访问路径上增加一个 qq.com 就可以了
这个利用过程分为三个阶段:
第一阶段:构造好恶意代码发送的时候在发送者视角是能看到完整内容的
第二阶段:在其他收信人视角下,href=” “里的内容全部清除了,变成一个空格
第三阶段:在电脑复制的时候,所有的标签代码及内容全部消失,前后文及标签夹着的内容会拼接在一起,形成完整的字符串
因此推断微信其实是做了两层渲染(仅指此处漏洞)的,第一层渲染掉了href中的内容(此处不知道为什么,怎么会把所有内容替换成空格),紧接着在复制的时候触发第二次渲染,将标签解析了从而导致前后拼接。那么此处就有可能进行操作,例如:钓鱼网站、XSS打cookie、甚至是用html的方式进行RCE(虽然极度困难,菜鸡的我做不到)。
还是挺有意思的,虽然被认定无危害,不过感觉还是有深入的空间,有能力的师傅可以接力搞一下,说不定就来大钱呐~
求求大家点点关注、点赞、在看~帮忙转发分享一下也很好~
原文始发于微信公众号(樱花庄的本间白猫):微信0day漏洞?恶意代码成功执行!附恶意代码构造
