起因:昨天晚上朋友发了一个消息给我: 晚上喝了点酒,没怎么看就睡了。 第二天一大早上想起这个问题,心血来潮想扒一扒这个网站

首先看这个网址: http://maschada.wbac.ac.th/ui.html?index/=ciquitj?url=s9fwpc&iv

打开是一个QQ安全中心的登陆界面:

常识:QQ安全中心的网址统一都是 https://aq.qq.com/ 再加上这么奇怪的网站,第一反应就是盗号网址。

chrome查看源代码:一眼看去有几个地方比较可疑:

1. form的提交

2. 一段被url编码的js

3. 奇怪的js引用

首先搞懂这个url编码的js: 这里只是控制了输入框的默认值,问题不大。 再来看js引用部分: 一个很老套的套路:

1
<script src="jj.php"></script> 

这里的jj.php并不是php文件,用script引用,所以jj.php是一个js文件! 打开: 格式整理一下。。。 前半部分是简单的逻辑,主要判断输入的QQ号和密码是否符合标准。

关键代码 这里就是很明显的套路了: 你输入正确的QQ账户和密码后就会跳转到真正的QQ安全中心(这一步如果是输入错误也可能直接登录到QQ安全中心,因为一般QQ或者浏览器都会自动登录,不过这个没关系,不会有安全问题,也算是一个障眼法。) 这里注意到一个注释,和和上面的post请求差不多,但是用一个p(); 所以来看看p()代码: s的值用了ecode64()也就是用了base64编码: QQ号 + \t + 密码 + \t 如果我输入了QQ和密码为 : 88488848\t shabisibaba\t base64 编码: ODg0ODg4NDhcdCBzaGFiaXNpYmFiYVx0== http://maschada.wbac.ac.th//tpl/36402021580636317/ODg0ODg4NDhcdCBzaGFiaXNpYmFiYVx0==.gif_1474950810000

到此,分析结束。 其他信息:

总结:

小白一只,没有社工库,到这里就全部完了,只是简单分析了一下盗号的一般套路,希望各位保护好自己的账号。 网络安全常识和意识不只是搞网络安全的才需要具有的素质。 现在这种网络环境,这些隐私信息稍不注意就会被人挖走,好好提高自己的安全意识,尽量不做internet裸奔者。