免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞详情
2023 年 8 月 20 日,赛博昆仑捕获到利用 QQ 桌面客户端远程执行的漏洞,该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为,当用户点击消息链接时,QQ 客户端会自动下载并打开文件,最终实现远程代码执行的目的。建议谨慎点击任何消息链接。
二、威胁程度
该漏洞为逻辑漏洞,利用 QQ 客户端的逻辑缺陷进行攻击,被攻击方在点击消息内容(链接)时,不会弹窗提示,自动下载执行,在攻击者利用的层面,可降低攻击者钓鱼等攻击手段的难度。
三、影响范围
影响范围:QQ Windows 版 9.7.13 及以前版本
四、漏洞复现
测试版本
kali启动teamserver
CS 生成一个 exe 的马子
发送马子给对方QQ
然后右键文件进行回复,再发送回复内容。
接着将回复内容转发给受害者
来到受害者的 QQ 上,点击文件进行下载。
**ps:**这里下载后会自动运行我们的 cs 木马
上线
五、修复建议
1、提示用户谨慎点击消息链接。
2、升级或安装终端安全软件,用于检测落盘的文件是否异常。