技术揭秘“QQ空间”自动转发不良信息 -
| 关注黑客与极客
技术揭秘“QQ空间”自动转发不良信息
共1280468人围观
，发现 35 个不明物体
大家经常会看到QQ空间自动转发一些附带链接的不良信息，即便我们的QQ密码并没有被盗取。最近通过对一个QQ空间自动转发链接进行分析，发现该自动转发机制通过利用腾讯网站存在漏洞的页面，精心构造出利用代码获取用户的QQ号和skey值，从而获得用户的一些敏感操作权限。并通过该漏洞自动转发一些不良信息诱导用户点击，从而导致大面积传播。
如果有一天，你发现好多QQ好友空间都在发一条说说，并且这个说说附带了一个链接，像下图这样：
此时你就要注意了，那个网页你点进去你也会一起中毒，并在你没有察觉的情况下在你的空间转同样的内容。
针对这种情况，我们通过分析其原理得知其转发机制，下边我们以一个实例，并用最容易理解的方式来告诉大家这种不良信息是如何转发以及如何防范。
腾讯地图的一个实时竞价页面存在一个XSS漏洞，由于没有对请求参数做严格检查，通过精心构造的请求数据导致返回信息中的数据可被利用来执行js代码，同时服务器没有对请求来源进行检测，因此可以造成CSRF攻击。
查看之前抓取到的利用该漏洞进行不良信息转发的页面，在该页面开头嵌入了一个iframe标签如下：
标签style为隐藏属性，从而使得该插入页面不会被用户发现，插入的页面链接就是构造好的url地址。
当页面被加载时，页面通过这个url接口向腾讯地图的RealTime Bidding服务器发送一个请求，服务器没有对请求来源进行效验，直接将请求的数据返回，并附带了一些查询信息，如下图所示，其中exploit是构造的利用代码。
当exploit = “&/script&&svg&&script&eval(window.name);//”，请求服务器之后iframe标签里的内容就变成下边的内容：
利用代码中的标签“&/script&&svg&&script&”用于绕过浏览器的XSS过滤器，浏览器会将这三个标签忽略掉只留下后边的内容，然后第一个注释符号将后边的内容都给注释掉了，最后的有效内容就一句：eval(window.name)。之后eval会将字符串name里边的内容当作js代码执行，其执行结果就是在文档结尾创建&script&&/script&标签去加载执行js主功能模块http://conf3.gamexm.net/moo.js。主功能js部分代码如下所示：
该js代码做了混淆，其按照OlOlll=”(x)”的方式进行替换，我们还原第一部分代码为：
eval(&var&l&=&function(x){return&String.fromCharCode(x)}&);
该处生成一个函数I，其功能是返回数字对应的ascii码，下边利用该函数将一些数字还原成新的函数，依次类推，最后解出来的功能代码如下所示:
代码通过document.cookie获取用户的cookie信息，然后从中提取uin值和skey值，通过抓包可以看到，uin值是由o开头加上QQ号组成，因此相当于就获取了用户的QQ号，skey是以@开头的一段字符。之后调用函数document.createElement创建了一对script标签来执行如下脚本：
其中参数q是QQ号，k为skey的值，getGTK(str)是为了给skey签名，这样可以确保skey是有效的。该脚本把获取到的QQ号和skey值通过附加到链接参数提交给远程服务器。
利用Skey进行敏感操作
Skey 是一次性口令，服务器为每个用户建立一个skey作为用户的权限代码，服务器验证该值即可获取用户的一些权限操作，该值会被浏览器记录在cookie信息中，只要用户不退出登录就会有效。也就是说如果获得一个QQ号码的Skey代码，也就相应的拿到了对方QQ登陆和管理权限，通过调用相应的操作接口API，即可不通过用户密码实现对用户空间，相册的访问权限，同时也可以发表说说，删除留言等一些敏感操作。
下边进行一个简单的测试来实现在QQ空间发表状态。
首先通过抓包获取到cookie信息中的uin值和skey
然后我使用curl命令通过发表说说的api向服务器发送一个包，包内容如下：
Curl命令执行过后，会在我的空间就自动发了一条说说：this is a test
由此想到了之前的天涯病毒营销系统，它是通过服务端配置中间收信网站后生成客户端，当用户点击客户端样本后，其客户端样本使用WebBrowser控件加载QQ邮箱快速登录，再利用自动填表的方式让软件自动点击“快速登录”按钮，进而可以得到本机QQ当前登录的Client Key，然后将QQ号和ClientKey提交到远程服务器上，服务端即可通过该ClientKey进行QQ登录操作，登录之后具有访问QQ空间，QQ邮箱，财付通，修改个人资料，上传文件到QQ群共享等操作。这里的ClientKey和skey其功能相同，都是一个权限代码。
修复方案和建议
1. 针对用户，不要随意点击一些不良网站信息，如果不小心中招，解决方法就是快速退出空间，如果是手机登录的话就要退出QQ，重新登陆QQ，这样会产生新的skey，原来的skey就失效了。如果只是单纯的刷新网页，或者关掉手机QQ空间，则不会改变skey。
2. 针对漏洞厂商，要检测所有接口的输入参数，进行严格过滤，防止XSS漏洞的产生；同时要对数据请求来源进行判断，非同源数据过滤掉，从而防止CSRF攻击。
?*本文作者：猎豹科学院，转载须注明来自FreeBuf黑客与极客（）?
桃李春风一杯酒
厉害 web安全至今站在门外 希望和题主交流
Follow my own course
Very good 最近很多好友号被盗，乱发说说，不过不是这个XSS，是一个钓鱼页面，说什么 聚会时的照片已经上传了……然后。。。你懂得……
哈哈，听君一一席话，瞬间豁然开朗啊
API已经过滤了……
已经找到室友了，不好意思啊
必须您当前尚未登录。
必须（保密）
珠海猎豹团队官方账号
关注我们 分享每日精选文章QQ空间&中毒&自动发布垃圾信息怎么办？选择字号：
QQ空间中的信息无故被修改或新增，是由于密码外泄导致被他人恶意用作广告用途，建议您参考以下方法：
一、立即安装升级最新的防杀毒软件，对您QQ号码经常使用的电脑进行彻底查毒：
1、如果已经确认中毒严重的系统，建议格式化系统后重新安装系统；
2、清除病毒后或者重装系统后，立即修改QQ密码；
3、网络的安全使用请了解。
二、建议您修改密码之前，清除空间内容：
1、删除广告垃圾信息（日志、主人寄语、签名档、说说等）；
2、删除flash、视频及附带音乐的日志；
3、在“装扮—高级设置—增删模块”中删除自定义模块及空间代码并且将“当前装扮”下将空间恢复默认装扮；
4、在音乐盒的“背景音乐”及“我的音乐”中，删除网络歌曲。
注：若代码跳转过快，用鼠标点击跟不上时，建议用ctrl+j打开装扮页面。
以上信息是否已解决您的问题？
关注微信公众号
关注手Q公众号
社交软件热线3
帐号服务热线6
财付通热线0
支付服务热线95017
目前仅提供以上业务的电话服务，其他产品请在本网站寻求帮助
微信端公众号
QQ端公众号qq空间自己乱发说说怎么办_qq空间乱发东西怎么办_QQ技巧
qq空间自己乱发说说怎么办_qq空间乱发东西怎么办
学习啦【QQ技巧】 编辑：权威
　　很多时候我们在浏览了恶意网站之后，可能会出现qq中毒的情况，然后qq空间就会自己莫名发一些奇怪的说说，下面是学习啦小编为大家整理了qq空间自己乱发说说的解决方法，希望能够帮助到您!
　　qq空间自己乱发说说的解决方法
　　一、授权登陆前取消一部分权限
　　以音悦台授权为例：授权时可不勾选&读取、发送腾讯微博消息&，其它网站类似。这样就不会自动发送。
　　二、授权登陆后进入登录管理，取消授权或者修改权限管理
　　进入QQ空间&&&设置&&&QQ登录&&&取消授权或者权限管理
　　也可在腾讯官方&QQ互联&里的&授权管理&取消授权或者修改权限管理
　　三、修改密码这个就不用多说了吧?!
　　qq空间自己乱发说说的解决方法二
　　此步骤是举报那些恶意链接，或许你已经感受到了恶意链接的可恶，那就不要对他们手下留情，登录&qq安全中心&右上方找&举报&
　　进入后点击&举报恶意网站&
　　在网站举报页面里可以批量举报20个链接，将空间里那些恶意链接复制到此处，一行一个链接，填写完成后提交举报即可。
　　一段时间以后会收到举报结果反馈邮件，感谢您对作出了一份贡献。
猜你喜欢：
本文已影响 人
[qq空间自己乱发说说怎么办_qq空间乱发东西怎么办]相关的文章
看过本文的人还看了
960人看了觉得好
976人看了觉得好
954人看了觉得好
【QQ技巧】图文推荐}