套路本身很常见,收到一个让帮忙给它亲戚家的孩子舞蹈比赛投票的拉票链接,点进去提示为了防止拉票要输入 QQ 号账户密码,一眼诈骗没什么好说的..
但有意思的是这个链接只能在 QQ 上打开,电脑浏览器里打开是 QQ 空间的 404 ,QQ 里打开以后复制链接看起来是像是和网易云音乐有关的地址(电脑上打开依旧是 QQ 空间的 404 ),但真实的地址是完全不相干的东西...
诈骗的链接是:www.0bj6.fun/3wkq
跳转后在 QQ 里打开的: http://p6.music.126.net/7FsUv-uugQmdDd-q9YgX7g==/109951169568998576?t=q5UbMRTQUp1MGh1Tw0kaNVjVYRWdjNDT29GRjBjUIZzMiBTOjZTNkBT013bd62ed5Y#514
真实的链接: https://w.uuy2349qwe08.cc/
只有真实的链接是可以在浏览器里打开的,我在想这个重定向是通过什么做到的?第一个看起来是一个短链接,第二个看起来像是代理...是 QQ 和网易云音乐上有什么漏洞被利用了么?
纠结了一下是提到“全球工单系统”还是“程序员”,还是放在“程序员”吧,我也不确定这算不算腾讯的产品有 bug
1
blacklinux 173 天前
User-Agent
|
3
edward1987 173 天前
用 postman 请求一下页面,自己复制混淆代码出来执行一下。关键代码如下,就是用 ua 判断的
var ua = navigator.userAgent.toString(); if (ua.indexOf("QQ") !== -1) { |
4
yuzo555 173 天前 3
网易云音乐的图床没做类型验证,被人上传恶意网页拿来使用了。
网易云音乐的域名在 QQ 内肯定是白名单安全域名,这是用来防封的。 |
5
zephyru OP @edward1987
@fengzhongdeyihan 我一开始 curl 了一下没拿到..但,这个感觉不太能解释为什么从 QQ 里打开直接复制出来的链接是,第二个.. 看贴出来的代码似乎用的还是 qq 自己的跳转 api ,最后为什么出来的会是第三个诈骗链接? |
6
duanxianze 173 天前
这种网站要怎么举报
|
7
zephyru OP |
8
EJW 173 天前
随便输入 qq 号和密码还得等它验证
|
9
zephyru OP @duanxianze 感觉很难,实际上诈骗网址那种格式的域名在 QQ 里几乎一定是会被提醒不安全的...
|
10
zephyru OP @EJW 如果你输入真的了,估计还会找你要验证码,再然后等待验证的时间就够它盗号然后,群发信息了...的确得感谢现在的多因素验证,不然这网站点进去或者点个投票号可能就没了
|
11
fengzhongdeyihan 173 天前
参数 t 就是加密后的真实跳转地址,他利用大平台的域名过白.
|
12
maggch97 173 天前 via iPhone
让 gpt 写了个 encode 函数,把网址加密一下替换掉 t 参数就能利用他的页面了
function encode(input) { function encodeBase64(input) { const base64 = btoa(input).replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, ''); return base64; } // Step 1: Encode the input string to Base64 var base64Data = encodeBase64(encodeURIComponent(input)); // Step 2: Insert random characters var randomChars1 = 'ABCDEFGHIJ'; // Example random chars, should be dynamically generated var modifiedData1 = base64Data.slice(0, 1) + randomChars1 + base64Data.slice(1); // Step 3: Encode the modified string to Base64 again var doubleEncodedData = encodeBase64(modifiedData1); // Step 4: Insert another set of random characters var randomChars2 = 'KLMNOPQRST'; // Example random chars, should be dynamically generated var modifiedData2 = doubleEncodedData.slice(0, 1) + randomChars2 + doubleEncodedData.slice(1); // Step 5: Reverse the string var encodedData = modifiedData2.split('').reverse().join(''); return encodedData; } |
13
BEza5k2j7yew0VN9 173 天前
|
14
liduoduo 173 天前
应该就是简单的 ua 判断
|
15
XuHuan1025 173 天前
人工上号的,耍了几次,还不验证了
|
16
Laobai 173 天前
已经送去了一波 DD
|
19
cheanchun 173 天前
@XuHuan1025 中午无聊,提交了几万随机账号密码
|
20
XuHuan1025 173 天前
@cheanchun #19 随机没用,得密码正确,他用 ipad 手动登录的,我这密码都是同一个,他看出来不登了 广东 ip
|
21
Jack66 173 天前
没看明白
|
22
ZnductR0MjHvjRQ3 173 天前
主要问题出在网易云
|