V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Lucius
V2EX  ›  信息安全

今天收到一个通过获远程取Cookie来直接登录 QQ所有WEB产品的文件 想请有逆向经验的大牛研究一下

  •  
  •   Lucius · 2014-01-19 00:42:59 +08:00 · 8690 次点击
    这是一个创建于 3962 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我用Ollydbg初步分析了下觉得原理是通过获取
    http://xui.ptlogin2.qq.com/cgi-bin/qlogin
    登录后的Cookie 相当于XSS
    关键是大部分杀毒软件不能识别为病毒
    (请不要运行 否则后果自负。。)
    http://pan.baidu.com/s/1pJHI3dL
    15 条回复    1970-01-01 08:00:00 +08:00
    x86
        1
    x86  
       2014-01-19 00:47:55 +08:00
    莫非是那个什么*伦的QQShell?
    Lucius
        2
    Lucius  
    OP
       2014-01-19 00:49:08 +08:00
    @x86 有点像

    我联系了那个控制端的人,他给我了截图

    我也下载了王凯伦的QQSHELL感觉界面不一样
    Lucius
        3
    Lucius  
    OP
       2014-01-19 00:49:40 +08:00
    @x86 但确实,他的控制端程序名字叫做QQShell
    Lucius
        4
    Lucius  
    OP
       2014-01-19 00:51:02 +08:00
    @x86
    whuhacker
        5
    whuhacker  
       2014-01-19 01:07:09 +08:00
    上周出过一次事故, xui.ptlogin2.qq.com 曾经挂了5分钟,QQ 全线产品不能登录
    Lucius
        6
    Lucius  
    OP
       2014-01-19 01:09:54 +08:00
    @whuhacker 感觉略屌啊
    VYSE
        7
    VYSE  
       2014-01-19 03:58:13 +08:00
    遍历了PROGRAM FILES,读了COOKIE,WebCacheV01.dat(历史记录)
    应该是调用了官方的npSSOAxCtrlForPTLogin.dll去尝试拿到登录token,例如你登陆了QQ,在IE里也能登陆腾讯的SERVICE。
    C:\Users\<USER>\AppData\Roaming\Tencent\Logs\还有调用LOG。

    内容发到了
    http://122.193.23.141/
    http://140.206.160.218/

    然后还有说的很吊的视频教程:


    至于这个拿到的token是不是永久性的实验过才知道
    cyr1l
        8
    cyr1l  
       2014-01-19 06:11:33 +08:00
    @VYSE 这是周杰伦录的吧?
    zjgood
        9
    zjgood  
       2014-01-19 07:53:44 +08:00 via iPhone
    @cyr1l 好像是Helen??不确定的乱说
    freeznet
        10
    freeznet  
       2014-01-19 11:57:14 +08:00
    @cyr1l 宇宙第一黑客helen录的= =
    a2z
        11
    a2z  
       2014-01-19 12:20:42 +08:00
    宇宙第一黑阔helen +65535
    Lucius
        12
    Lucius  
    OP
       2014-01-19 13:19:29 +08:00
    @VYSE 你说的是我这个文件吗? 他是发送到116.255.214.186:8090
    Lucius
        13
    Lucius  
    OP
       2014-01-19 13:28:24 +08:00
    @VYSE
    原理和视频上的应该是差不多,但是据他的这个文件的实际效果,token应该不是永久性的。
    我修改密码后就会强制要求更新token了
    Lucius
        14
    Lucius  
    OP
       2014-01-19 13:28:55 +08:00
    @VYSE 除非他的程序在我本地不断运行 这样的话 病毒特指就太明显了 容易被查杀吧
    VYSE
        15
    VYSE  
       2014-01-19 17:05:39 +08:00 via Android
    @Lucius 我这抓包就发了这俩地址,可能在我这没找到就没发。
    木马行为没看到,是一次性的,没种啥东西
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1084 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 23:40 · PVG 07:40 · LAX 15:40 · JFK 18:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.