【我在这里谁来帮帮我啊!!!】事件

就在刚才,我刷QQ空间的时候,突然出现了一大群人发出了同样的这样一条消息(请不要点下面的链接,不然你也会中招)

我在这里谁来帮帮我啊!!!  腾讯地图  by:Luna qq:82919847

于是我第一反应就是,一定是TX网站又被挂马了。。。。

所以我就开始寻找发送这条消息的根源

上面的链接是一个短网址,http://url.cn/eidT6l,用短链复原工具看了下,确实和点开来的地址是一样的,那么就不需要在这里多做研究了,直接研究目标页的源码:view-source:http://acts.zhan.qq.com/module/map/gpsApp?gpsId=gpsId_5583b2cbd6dc0&data=eyJpZCI6Imdwc0lkXzU1ODNiMmNiZDZkYzAiLCJ3aWR0aCI6MzIwLCJoZWlnaHQiOjUwMCwiZGF0YSI6W3siYWRkcmVzcyI6IiJ9XX07JC5nZXRTY3JpcHQoImh0dHA6Ly9seHNzLnNpbmFhcHAuY29tL20uanMiKTthPXtzczpbe2FzZDogIiIsImxhdCI6IjMxLjE5ODI5OSIsImxuZyI6IjEyMS4zOTI1OCIsInRpdGxlIjoicyIsInBob25lIjoiIn1dfQ==

首先我搜索了一下发出的关键字“我”,并没有结果,说明并不是直接从这个页面发出的消息,然后我开始一行行审查代码,结果在45行发现了异样,

不仔细看还真看不出后面插了一段代码,我发现了它,是因为这里面竟然会载入sinaapp的js,绝对有问题。于是我打开了这个app的首页看了下,是默认页,那么这个app的拥有着多半就是挂马者本人了。然后看一下载入的脚本,一眼就可以看到那句话

 

 

更新:我继续研究了一下那个data字段,果不其然就是它了,虽然我一开始就看出这是base64加密的,不过找错了工具。。没能解出来。刚从我又找了个工具解了一下,得到以下结果

可以看出来,是TX程序员偷懒直接把解密结果连接到 var options =  后面了,才导致页面直接嵌入了代码。所以这不是挂马,而是CSRF攻击。

 

 

so,消息就是从这里发出来的,利用了浏览器里的Token发出了这么一条消息,并吸引其他用户继续上钩。

我们接着往下看。

最后一行

这行代码通过假装调用一个图片的形式,把用户的cookie,Skey和QQ号发送到了这个地址。虽然我不知道这些信息有啥用,不过一旦你发出了那个说说,那么你的账号也就危险了,请速改密码(QAQ我也中枪了)。

 

另外那个APP我已举报。

 


补:

我看了那个写在上面的QQ的空间,看来作者就是这个人了。这么说其本人并不是为了获得操作权限才发布了这条说说,看起来只是测试。

希望作者别来干我,我没你厉害





如文中无特殊说明,本站均使用以下协议:知识共享许可协议
知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可。

本博客使用Disqus评论系统,如果看不到评论框,请尝试爬墙。