web安全：QQ号快速登录漏洞及被盗原理

为什么你什么都没干，但QQ空间中却发了很多小广告？也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的原理。

而利用这个原理最终可以实现，只要你点击一个页面或运行过一个程序，那么我就可以拥有你的登录权限。可以直接进你邮箱，进你微云，进你QQ空间等....

看懂本篇需要一点点web安全的基础，请移步我的上篇

web安全：通俗易懂，以实例讲述破解网站的原理及如何进行防护！如何让网站变得更安全。

http://www.cnblogs.com/1996V/p/7458377.html

腾讯QQ有一个快速登录的功能，意思就是当你点开网页的时候，他能自动效验你是否登录了QQ。

那么腾讯是怎样实现的呢？

腾讯是通过NPAPI和 ActiveX 来实现的。

　　　　（网景插件应用程序编程接口（NPAPI, Netscape Plugin Application Programming Interface）是Netscape Navigator、Mozilla Suite、Mozilla SeaMonkey和Mozilla Firefox等Gecko引擎浏览器与Apple Safari和Google Chrome等webkit引擎浏览器所使用的类似ActiveX的插件接口。

　　　　  ActiveX 是一个开放的集成平台，为开发人员、 用户和 Web生产商提供了一个快速而简便的在 Internet 和 Intranet 创建程序集成和内容的方法。 使用 ActiveX, 可轻松方便的在 Web页中插入 多媒体效果、 交互式对象、以及复杂程序，创建用户体验相当的高质量多媒体CD-ROM 。）

因为IE从5.5版本后停止支持   NPAPI，所以， 腾讯对 IE浏览器 采用 ActiveX 插件，对除IE浏览器等其它主流浏览器采用NPAPI的形式来实现快速登录。

每当你运行该页面的时候，他会判断你浏览器支持不支持ActiveX，然后再进行相关操作，代码我就不放出来了，有兴趣的大家可自行百度了解。

当然，如果用ActiveX呢，你的浏览器又得下载插件，如果用NPAPI呢部分浏览器还要审核插件，并且伴随着时代的发展，NPAPI和ActiveX 已经显得老态龙钟，所以，腾讯想了个新花招来实现快速登录。

原来，QQ在本地开了一些端口（4300），做了个httpd，可以把这个东西理解成web服务器，类似于IIS Express

httpd是是Apache超文本传输协议(HTTP)服务器的主程序。被设计为一个独立运行的后台进程，它会建立一个处理请求的子进程或线程的池。

下面，我们开始着眼于实现。

将使用到一款工具：Fiddler。

我们随便打开一个QQ域下的网站，比如www.qq.com，我们打开Fiddler进行监测。

发现：

在ui.ptlogin2.qq.com的Host下，会产生一个key为 pt_local_token的 cookie，  如图所示，尾号为562。

然后我们点击右上角登录，

继而会弹出一个快速登录的框

他是怎么监测到我登录的有QQ号呢？

好，我们接着用Fiddler来监测，我们发现，当点击右上角登录的时候，会触发一个接口。

这个接口的地址是：https://localhost.ptlogin2.qq.com:4300/pt_get_uins?callback=ptui_getuins_CB&r=0.9417236381383591&pt_local_tk=0.1111111111111562

我们可以发现 ，这个接口的  pt_local_tk参数就是 之前的pt_local_token，尾号562，刚好吻合。

这个接口返回了一串 关于当前QQ的信息：

var var_sso_uin_list=[{"account":"137780739","client_type":65793,"face_index":486,"gender":1,"nickname":"看客 er","uin":"137780739","uin_flag":323486274}];ptui_getuins_CB(var_sso_uin_list);

还发现，还会请求一个接口，ptlogin2.qq.com/getface?appid=636014201&imgtype=3&encrytype=0&devtype=0&keytpye=0&uin=137780739&r=0.9433088515882535

这个接口会返回当前QQ的头像地址：

这样一来，页面上就显示了我们的头像 网名等信息了。

再然后我们在快速登录框中点击， 登录按钮。

会调用：localhost.ptlogin2.qq.com:4300/pt_get_st?clientuin=137780739&callback=ptui_getst_CB&r=0.2443934530496683&pt_local_tk=0.11111111111111562

这个接口的作用是，服务器设置给浏览器Cookie，

再然后，又会调用接口：/jump?clientuin=137780739&keyindex=9&pt_aid=636014201&u1=http://www.qq.com/qq2012/loginSuccess.htm&pt_local_tk=0.11111111111111562&pt_3rd_aid=0&ptopt=1&style=40

将带入之前的Cookie然后进入这个接口，最终返回的仍然是注册Cookie，

而这次的Cookie，就是你登录所需要的Cookie。

这些Cookie就相当于令牌，有了这个令牌就可以拥有快速登录的权限，就相当于你登录一般的网站，账号密码进去，后台会给浏览器注册一条Token来做状态验证一样。

也就是说，拿到了Cookie，你就可以通过CSRF（跨站伪装）的形式，来搞好多事情。

可以在网站上放一个页面，里面跑http请求，或者搞个窗体，里面也跑http请求。

只要你电脑上登录了QQ，只要你打开了这个页面或者打开了这个窗体，那么你的账号就已经被入侵！

不需要输入账号密码，可以直接拿着QQ空间发表留言的接口直接调用，可以直接爬虫抓相册图片，可以进微云等等等等。

最后，再告诉大家一个非常好的接口。

http://localhost.ptlogin2.qq.com:4300/mc_get_uins  
Host: localhost.ptlogin2.qq.com:4300
Connection: keep-alive
Cache-Control: max-age=0
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8

Get即可

返回：

作者：小曾
出处：http://www.cnblogs.com/1996V/p/7481823.html 欢迎转载，但任何转载必须保留完整文章，在显要地方显示署名以及原文链接。如您有任何疑问或者授权方面的协商，请给我留言.Net交流群， QQ群：166843154 欲望与挣扎