微信爆任意打语音和任意发信息漏洞?
原文链接: https://mp.weixin.qq.com/s?__biz=MzI5NDg0ODkwMQ==&mid=2247486502&idx=1&sn=244b3b8eb8dc4d46417d90ab4b5264a2
微信爆任意打语音和任意发信息漏洞?
原创 蓝精灵 格格巫和蓝精灵 2025-07-14 00:30
昨天相信大家都看到有人在微信群发送一些诱导性链接了,我第一时间也做了简单尝试和分析,对常见疑问做简单分析和分享。
1.首先这个攻击有些类似web攻击里面的csrf(参考之前的微博自动刷粉漏洞),但这里不是csrf,因为csrf是http协议,这里是用的微信自己的伪协议,更像是
客户端协议诱导 + 社会工程攻击。
2.单独发消息,微信会自动在A标签闭合处添加一个空格导致不会触发,所以说微信之前还是做了防护的,但在引用消息的时候就没有添加空格,导致可以成功渲染。这里属防护不完整的问题。
3.此次攻击只针对android手机端生效,应该还是属于只对ios以及电脑端应用做了很好过滤,android可能稍有遗漏。
4.早些时候攻击的payload还只是任意发送信息,例如这样
<a
href="weixin://bizmsgmenu
?msgmenucontent=你想要说的&msgmenuid=960">点击就送肯德基🍟</a>
效果就是别人点击链接,就会自动给你发消息。
后面的payload应该是有人找到了微信的打电话接口
<a href="weixin://voip/callagain/?username=任意用户微信ID">https://www.bilibili.com/video/EJ1HXGJDzEEK</a>有没有敢点的
效果就是别人点击你的链接,就会自动打语音电话(如果是非好友关系则不成功)。
如图点击诱导性链接可以给小马哥打电话(当然非好友关系不会成功)
理论上找到转账和发🧧接口可以诱导别人进行自动发红包和转账,但像这两项操作一般是需要用户输入支付密码的,所以目前来看漏洞影响有限,除非找到更多其它可利用接口。目前来说这个用来整蛊😜还是可以玩玩的。