logo

K8哥哥

没有绝对安全的系统

超过8年依然可用的QQkey免密登陆漏洞

本文于 1354 天之前发表

前言

你是否收到好友给你发的H站、赌博等站点的广告信息?没错都是QQKEY的蠕虫,在2012年的时候很疯狂
什么QQ空间自动发广告,邮箱自动给好友发广告消息等等,可能你点击里面的广告你的Q也跟着被盗…
如果你的号值钱就是以前常说的靓号,盗号者还会改你的信息卖你的QQ,当然现在也就只能发广告了
前几年可能也被电信诈骗利用,毕竟能通过资料或好友备注等很多信息,增加诈骗你好友钱的可信度

什么是QQkey

不管是ClinetKey还是skey在这里我统称它为QQKEY吧,他俩是有区别的,但对于最终目的我们都是登陆。
比如说钥匙,长得不一样,售价不一样,开锁难度不一样,但它一样是锁,叫法或卖的价钱不一样而已。

无论是ClinetKey还是skey都是一张临时登陆的身分证,可理解为腾讯对特定字符串(cookie)的定义
ClientKey大家有没注意到当你登陆QQ后,访问QQ的相关站点,无需输入QQ密码即可自动登陆相关站点?
能自动登陆说明肯定有令牌,总不可能给你存密码,因此我们可以通过特定网页获取到QQKEY免密登陆。

发帖前我又测了一下2014年的QQKEY利用程序,确认依然存在,如QQ邮箱、QQ安全中心均可直接KEY登陆

image

获取内网QQkey

由于腾讯对QQ做了异地登陆限制,需手机解锁等操作,相对来说也是顶安全的,但在公共场所就不一样了。
使用Ladon的HTTP嗅探功能,可轻松嗅探到局域网或公共场所中的QQ和SKEY,比如在网吧、学校、星巴克等
在公共场所获取到的QQ肯定是别人当前可登陆的,所以登陆地IP限制就不存在了,嗅到SKEY可直接登陆
Ladon获取SKEY的方法非常简单,命令Ladon HttpSniffer 192.168.1.8(本机IP),坐等即可。
该功能在Ladon添加嗅探功能时就有,去年的12月份Ladon 6.0及以后版本均可以

image

QQkey登陆邮箱

http://ptlogin2.qq.com/jump?clientuin=QQ&clientkey=key&keyindex=9&u1=https%3A%2F%2Fmail.qq.com%2Fcgi-bin%2Flogin%3Fvt%3Dpassport%26vm%3Dwpt%26ft%3Dloginpage%26target%3D&pt_local_tk=&pt_3rd_aid=0&ptopt=1&style=25

PS: 其它业务自行抓包获取URL,网上也公开很多ClientKeyt和Skey的利用工具,最新的是今年3月底

参考

https://blog.csdn.net/qq_38837337/article/details/80673809

警告

本文主要是告诉大家不要在使用公共WIFI登陆QQ,其实微信或其它应用也同理

扫码加入K8小密圈