Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

QQ社工神器之我发EXE你敢点吗?

0
0

其实这个相信很多人都知道的,这里就再复现一下吧

其实这个主要是我们在电脑上登录了qq后,当我们需要用到qq去登录其他的时候我们就会来到一个快速登录的界面

比如我们在登录网页端的qq的时候,在电脑上登录了qq之后我们一点击登录就会出现一个单点登录,这种快捷方式就很容易被别人恶意利用


QQ社工神器之我发EXE你敢点吗?

我们可以来分析一下这个登录的主要流程

我们以qq群的登录为例子

https://qun.qq.com/

我们打开qq群的登录,发现打开首页,点击了登录之后就会去加载一段链接:

https://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=71xxxxx901&daid=73&pt_no_auth=1&s_url=https%3A%2F%2Fqun.qq.com%2F


QQ社工神器之我发EXE你敢点吗?

我们可以单独打开看看,其实这个就是加载了单点登录的一个链接,其中的s_url应该是登录成功之后要跳转的链接


QQ社工神器之我发EXE你敢点吗?

其实我们可以这样想,我们只是打开了一个网址而已,为什么他会获取到我们已经在电脑上登录的qq了呢?这个时候我们应该可以想到,其实是有可能在加载这个链接的时候他会先获取在电脑上登录的qq信息,我们刷新一下这个链接重新抓包看看

我们对每个包进行拦截分析,拦截到这个包,看到了他的返回值是这样的:

https://localhost.ptlogin2.qq.com:4301/pt_get_uins?callback=ptui_getuins_CB&r=0.40394900412518164&pt_local_tk=187XXXXX11


QQ社工神器之我发EXE你敢点吗?

可以看到这个的返回值就是我们已经登录了的qq的信息,为什么这么说呢,为了验证,我现在能查询到的只有一个qq的信息,这个qq的信息是我在电脑上登录信息,然后我再登录了一个账号之后再次发包之后是第二张图片的


QQ社工神器之我发EXE你敢点吗?
QQ社工神器之我发EXE你敢点吗?

我们来分析一下这个包,我们发现包会加载一个pt_local_tk参数,这个参数是怎么来的呢,其实如果你玩过用软件写post登录的话应该就会对这个很熟悉了(楼主以前就是经常用易语言写网站的post登录),这个值有可能会存在网页中,上次链接返回的cookie中,或者是本地js生成

其实我们在刷新的时候拦截到抓包其实就会知道的,我们用网页调试器去调试一个这个链接:

https://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=7XXXXXXX1&daid=73&pt_no_auth=1&s_url=https%3A%2F%2Fqun.qq.com%2F

发现这个会在返回的cookie中返回了一个: pt_local_token 值,其实我们发现 pt_local_token这个值是和 pt_local_tk 这个值是一样的

当然了,每次刷新了链接这个值也会发生变化,所以这个值不是固定的


QQ社工神器之我发EXE你敢点吗?

接下来我们点击登录

点击登录(又换了一个小号)


QQ社工神器之我发EXE你敢点吗?

点击了之后我们发现这个加载了一个链接,我们发现这个链接的加载

https://localhost.ptlogin2.qq.com:4301/pt_get_st?clientuin=92xxxxxx70&callback=ptui_getst_CB&r=0.007247505071141136&pt_local_tk=1870947411

发现这个链接的返回里面返回了一个 clientkey 值


QQ社工神器之我发EXE你敢点吗?

我们继续跟进,我们发现在访问了这个链接之后发现这个链接的cookie中有有我们上一步返回的cookie―clientkey值做cookie做请求头,并且给我们返回了一个 skey 值和获取到一段地址

https://ssl.ptlogin2.qq.com/jump?clientuin=92XXXX0&keyindex=9&pt_aid=7XXXXXX1&daid=73&u1=https%3A%2F%2Fqun.qq.com%2F&pt_local_tk=624392265&pt_3rd_aid=0&ptopt=1&style=40

获取到的地址:

https://ptlogin2.qun.qq.com/check_sig?pttype=2&uin=9XXXXXX0&service=jump&nodirect=0&ptsigx=7b1a84a9154c395a311ad0f7ba7e6d7bd3638c404a3947cbc8e5babfc6b011bfff5638db792a10549aa78725c33859a4c3eb2e42212b4dcb0ebf66c7bda69f33&s_url=https%3A%2F%2Fqun.qq.com%2F&f_url=&ptlang=2052&ptredirect=100&aid=1000101&daid=73&j_later=0&low_login_hour=0&regmaster=0&pt_login_type=2&pt_aid=7XXXXXX1&pt_aaid=0&pt_light=0&pt_3rd_aid=0


QQ社工神器之我发EXE你敢点吗?
QQ社工神器之我发EXE你敢点吗?
QQ社工神器之我发EXE你敢点吗?

我们继续跟进到加载了地址的的那个链接

https://ptlogin2.qun.qq.com/check_sig?pttype=2&uin=92xxxxx770&service=jump&nodirect=0&ptsigx=4657edbe8891286ca60f28620ab65c9d6ef3a2b94e4c1e56e936273092ba8adf5d4efac3c0bfab2db7a56385bd635bec62f3635d58ee00217baa48679b5c450a&s_url=https%3A%2F%2Fqun.qq.com%2F&f_url=&ptlang=2052&ptredirect=100&aid=1000101&daid=73&j_later=0&low_login_hour=0&regmaster=0&pt_login_type=2&pt_aid=715030901&pt_aaid=0&pt_light=0&pt_3rd_aid=0


QQ社工神器之我发EXE你敢点吗?

这个链接加载了之后会302跳转到: https:// qun.qq.com/ ,也就是我们一开始的s_url参数的值


QQ社工神器之我发EXE你敢点吗?

同时我们也发现了这个链接返回的cookie中会返回一个 p_skey 值


QQ社工神器之我发EXE你敢点吗?

然后整个登录过程完成了

而至于我们为什么要这么做呢,接下来我给大家演示一下就明白了

这个是我们获取群里面成员的的接口链接


QQ社工神器之我发EXE你敢点吗?
QQ社工神器之我发EXE你敢点吗?

我们也可以网页调试器上模拟这个接口,如下


QQ社工神器之我发EXE你敢点吗?

这个时候我们就发现了,我们只需要一个就接口访问链接,加上他认证的cookis和协议头(Referer)就可以了

这个时候我们发现我们只需要cookies中的 p_skey 、 uin 、 skey 这三个值就可以调用接口了

其实这个对于那些经常写post的登录的那些人来说这个是习以为常的,那这个时候我们能怎么利用呢,我们可以这样想,他在打开链接的时候会获取在电脑上登录的qq,然后当点击的时候就会登录,点击登录就是点击了访问一个链接,这个时候我们弄成获取到了在电脑上登录的qq直接就访问点击登录的那个链接,也就相当于自动点击了。

其实上面的过程可以写一个程序进行操作,不过我们先来理理思路如何获取到 p_skey 、 uin 、 skey 这三个的值

链接中参数 r=0.40394900412518164 的值这个不用理会,因为这个是现行时间戳,就像我们去访问一个图形验证码的时候后面跟着的现行时间戳一样,就算删除了之后还是一样可以的,所以可以不用理会,当然也可以加上,看个人喜欢

(1)、获取pt_local_tk值:

访问:


Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images