前言

你是否收到好友给你发的H站、赌博等站点的广告信息？没错都是QQKEY的蠕虫，在2012年的时候很疯狂
什么QQ空间自动发广告，邮箱自动给好友发广告消息等等，可能你点击里面的广告你的Q也跟着被盗…
如果你的号值钱就是以前常说的靓号，盗号者还会改你的信息卖你的QQ，当然现在也就只能发广告了
前几年可能也被电信诈骗利用，毕竟能通过资料或好友备注等很多信息，增加诈骗你好友钱的可信度

什么是QQkey

不管是ClinetKey还是skey在这里我统称它为QQKEY吧，他俩是有区别的，但对于最终目的我们都是登陆。
比如说钥匙，长得不一样，售价不一样，开锁难度不一样，但它一样是锁，叫法或卖的价钱不一样而已。

无论是ClinetKey还是skey都是一张临时登陆的身分证，可理解为腾讯对特定字符串（cookie）的定义
ClientKey大家有没注意到当你登陆QQ后，访问QQ的相关站点，无需输入QQ密码即可自动登陆相关站点？
能自动登陆说明肯定有令牌，总不可能给你存密码，因此我们可以通过特定网页获取到QQKEY免密登陆。

发帖前我又测了一下2014年的QQKEY利用程序，确认依然存在,如QQ邮箱、QQ安全中心均可直接KEY登陆

获取内网QQkey

由于腾讯对QQ做了异地登陆限制，需手机解锁等操作，相对来说也是顶安全的，但在公共场所就不一样了。
使用Ladon的HTTP嗅探功能，可轻松嗅探到局域网或公共场所中的QQ和SKEY，比如在网吧、学校、星巴克等
在公共场所获取到的QQ肯定是别人当前可登陆的，所以登陆地IP限制就不存在了，嗅到SKEY可直接登陆
Ladon获取SKEY的方法非常简单，命令Ladon HttpSniffer 192.168.1.8(本机IP)，坐等即可。
该功能在Ladon添加嗅探功能时就有,去年的12月份Ladon 6.0及以后版本均可以

QQkey登陆邮箱

http://ptlogin2.qq.com/jump?clientuin=QQ&clientkey=key&keyindex=9&u1=https%3A%2F%2Fmail.qq.com%2Fcgi-bin%2Flogin%3Fvt%3Dpassport%26vm%3Dwpt%26ft%3Dloginpage%26target%3D&pt_local_tk=&pt_3rd_aid=0&ptopt=1&style=25

PS: 其它业务自行抓包获取URL，网上也公开很多ClientKeyt和Skey的利用工具，最新的是今年3月底

参考

https://blog.csdn.net/qq_38837337/article/details/80673809

警告

本文主要是告诉大家不要在使用公共WIFI登陆QQ，其实微信或其它应用也同理

转载声明

K8博客文章随意转载，转载请注明出处！ © K8gege http://k8gege.org