今天收到一个通过获远程取Cookie来直接登录 QQ所有WEB产品的文件想请有逆向经验的大牛研究一下

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

这是一个创建于 3968 天前的主题，其中的信息可能已经有所发展或是发生改变。

我用Ollydbg初步分析了下觉得原理是通过获取
http://xui.ptlogin2.qq.com/cgi-bin/qlogin
登录后的Cookie 相当于XSS
关键是大部分杀毒软件不能识别为病毒
（请不要运行否则后果自负。。）
http://pan.baidu.com/s/1pJHI3dL

后果自负

15 条回复 • 1970-01-01 08:00:00 +08:00

x86

2014-01-19 00:47:55 +08:00

莫非是那个什么*伦的QQShell?

Lucius

2014-01-19 00:49:08 +08:00

@x86 有点像

我联系了那个控制端的人，他给我了截图

我也下载了王凯伦的QQSHELL感觉界面不一样

Lucius

2014-01-19 00:49:40 +08:00

@x86 但确实，他的控制端程序名字叫做QQShell

Lucius

2014-01-19 00:51:02 +08:00

@x86

whuhacker

2014-01-19 01:07:09 +08:00

上周出过一次事故， xui.ptlogin2.qq.com 曾经挂了5分钟，QQ 全线产品不能登录

Lucius

2014-01-19 01:09:54 +08:00

@whuhacker 感觉略屌啊

VYSE

2014-01-19 03:58:13 +08:00

遍历了PROGRAM FILES，读了COOKIE，WebCacheV01.dat（历史记录）
应该是调用了官方的npSSOAxCtrlForPTLogin.dll去尝试拿到登录token，例如你登陆了QQ，在IE里也能登陆腾讯的SERVICE。
C:\Users\<USER>\AppData\Roaming\Tencent\Logs\还有调用LOG。

内容发到了
http://122.193.23.141/
http://140.206.160.218/

然后还有说的很吊的视频教程：

至于这个拿到的token是不是永久性的实验过才知道

cyr1l

2014-01-19 06:11:33 +08:00

@VYSE 这是周杰伦录的吧？

zjgood

2014-01-19 07:53:44 +08:00 via iPhone

@cyr1l 好像是Helen？？不确定的乱说

freeznet

2014-01-19 11:57:14 +08:00

@cyr1l 宇宙第一黑客helen录的= =

a2z

2014-01-19 12:20:42 +08:00

宇宙第一黑阔helen +65535

Lucius

2014-01-19 13:19:29 +08:00

@VYSE 你说的是我这个文件吗？他是发送到116.255.214.186:8090

Lucius

2014-01-19 13:28:24 +08:00

@VYSE
原理和视频上的应该是差不多，但是据他的这个文件的实际效果，token应该不是永久性的。
我修改密码后就会强制要求更新token了

Lucius

2014-01-19 13:28:55 +08:00

@VYSE 除非他的程序在我本地不断运行这样的话病毒特指就太明显了容易被查杀吧

VYSE

2014-01-19 17:05:39 +08:00 via Android

@Lucius 我这抓包就发了这俩地址，可能在我这没找到就没发。
木马行为没看到，是一次性的，没种啥东西

今天收到一个通过获远程取Cookie来直接登录 QQ所有WEB产品的文件 想请有逆向经验的大牛研究一下

今天收到一个通过获远程取Cookie来直接登录 QQ所有WEB产品的文件想请有逆向经验的大牛研究一下