上次分享了wps的钓鱼漏洞这次来分享一下qq的钓鱼漏洞
漏洞影响版本: QQ Windows版9.7.13及以前版本
漏洞详情:
首先准备一个bat文件用于漏洞复现,这里准备了运行之后会打印炫酷字符的bat代码效果如下
将bat文件发送给一个好友,再回复这条信息 效果如下
将这条消息进行转发,受害者点击之后会直接执行这个bat文件,无任何提示,如果将bat换成木马或者其他exe那么只需一次点击就可完成钓鱼。
而不受漏洞影响的QQ版本会在点击之后打开下载的bat文件所在文件夹
并不会直接执行
bat代码需要自取
@echo off
title Number Rain
:line
color 0a
setlocal ENABLEDELAYEDEXPANSION
for /l %%i in (0) do (
set "line="
for /l %%j in (1,1,80) do (
set /a Down%%j-=2
set "x=!Down%%j!"
if !x! LSS 0 (
set /a Arrow%%j=!random!%%3
set /a Down%%j=!random!%%15+10
)
set "x=!Arrow%%j!"
if "!x!" == "2" (
set "line=!line!!random:~-1! "
) else (set "line=!line! ")
)
set /p=!line!<nul
)
goto line
原文始发于微信公众号(安全攻防屋):(已复现) QQ钓鱼0day
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论