小想法 | 某QQ空间盗号页面分析


搬运自之前的小脑洞小想法啦

起因

昨晚有个小伙伴空间里把列表都at了(后来知道的),附带P1这张图。

1

然后感觉不对劲,肯定是被盗号了。

然后突然有个脑洞,去看看这里面有啥吧

折腾记录

用扫码工具(千万别拿QQ来扫,虽然这次的链接没啥大影响)得到二维码文字内容,发现是类似url.cn/...的短链接。

2

用电脑浏览器打开,同时打开调试窗口,发现短链接跳转到一个Github.io的页面(P3),很明显是GitHub Pages。

3

于是去GitHub上查找该用户,发现只有个项目,里面就只有一个index.html文件,对应着P2页面,最新版本还是昨天提交的(P4)。

4

感觉不对,于是改变 User Agent 为手机,重新访问短链接,跳转P5页面,是个伪QQ空间登录界面,果然是个钓鱼页面233。

5

点击一键登录,延时一会儿会提示 请安装最新版本QQ 。【忘了密码】及【注册新账号】都是跳转到QQ官方的页面。然后输个123456789啥的测试一下,还会提示 请输入正确账号或者密码 啥的(P6)。

6

乱输一个987321654,噫进去了,跳转到了真的QQ空间,虽然并没有真的登录(P7)。

7

而后在调试窗口network下找了半天,都没发现我提交的账号密码。(P8-9)

8

9

顺着remote address查,发现唯一有可能的就是那个user.jpg,还带token参数,隐藏得有点意思,虽然不知道为啥404了。


jio得还没完,这token咋来的,提交的账号密码去哪了emmm,缺点啥。然后查看网页元素,找到了对应的JavaScript代码(P10-11)。

10

11

哈哈哈哈哈这个逻辑判断写的还是有点意思的,还把一堆常用简单数字给处理了,难怪前面输123456789玩不来。这个一键登录就是个假的(万一真的估计就得不到账号密码了吧)。点击登录的时候,将用户名密码拼接成json字符串,然后将字符串转换成base64加密传输,而后跳转到官方QQ空间界面。将P9的token用base64解密,果然得到了账号密码(P12)。

12

// 他没调用官方登录接口,没有真的登录到QQ空间已经很友好了,不然更难发现呢


到这差不多了,但感觉还没完,我们再来查查这个域名吧。

P13-15注册者信息,这人注册的域名真多。

13

14

15

用邮箱查询,而后随便访问几个,P16发现都重定向到了一个相似页面,原来那是西部数码上的一个域名经销商。这么说那个人也只是从经销商那里买了个域名而已。

16

总结

这是个做得有点水平的钓鱼网站。

碰到类似的二维码别乱扫,扫了也别登录!

至于获取账号密码之后把全列表都at,估计还写了别的脚本或者调用了啥接口,这个我还不清楚emmm

又开始了

以上内容均基于公开资料,仅供学习研究使用,请勿用于非法用途


文章作者: MiaoTony
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 MiaoTony !
评论
  目录