黑客出炉的进加密空间看日志和相册 有图有真相！|QQ使用技巧-Q迅家园-QQ空间-情感交流 - Powered by phpwind
查看完整版本: [--
&Pages: ( 6 total )
黑客出炉的进加密空间看日志和相册 有图有真相！
进去加密空间就是不可以留言,, 还有广告.. 不过功能还好哦 我用了这么多所谓的空间密码破解器,就只有这个真正可以 不说了,大家要就下吧 =800) window.open('/bbs/template/xred01/images/attachimg.gif');" onload="if(this.offsetWidth>'800')this.width='800';"> 为避免被滥用&&此工具暂时不上传，如有需要可以联系我，限Q讯的版主或者朋友
亲自测试 绝对有效
神器啊，大家百度是下不到的目前只有极少人手上才有
其实很想要
肯定是带病毒的盗号软件
学习....................
楼主你好怎么下法、太神奇了
别吃不到葡萄说葡萄酸老子那个软件都没上传，就是不想被别有用心的人利用盗你大爷的号啊 擦看到你就烦 就是1个闲的蛋疼的废物
楼主你好怎么下法、太神奇了
看看怎么搞
把那个东东也传了吧
怎样看啊？
,真的嘛?看看了.
楼主&&可以传给我吗
如果没用我就用鸡蛋砸你
建议给Q讯的技术员研究下，Q讯现在太烂了
这是怎么一回事？？
我也很想要一个
好想要哦，不过也要做好保密工作才行啊。。
看看这是怎么一回事？？
&&&&&&&&&& 好想要，
用户被禁言,该主题自动屏蔽!
到底什么情况
看看先 不知道是什么好东东
看看什么情况？
看看。。。
亲自测试 绝对有效
看了 很多忽悠贴，这个是不是真的呢？
我想要呀！！！
这是真的吗？一定要看看
真的着这么强的破解方法
怎么才能给呢？谁都能要吗？
ffffffffffffffffffffffffffffffffffffffffffffffffffffffffff
黑客出炉的进加密空间看日志和相册 有图有真相
要不发到我q迅邮箱吧
能分享一个不》？ 楼主、
把软件标题涂黑是为了保护知识产权。
让我看看可能吗
不管是真是假，先顶一下哈~~~希望可以有效哦！~~
学习学习 谢谢LZ的共享
楼主，发个给我好吗？救命啊！
看一下,可以吧.
好像是一个蛮有意思的软件
楼主不分享下么?
回复一下看看
希望对我有用
查看完整版本: [--
Powered by
Time 0.026351 second(s),query:2 Gzip disabled当前位置：
→ QQ空间相册暴力破解工具 V1.0 绿色版
装机必备软件QQ空间相册加密原理是什么_百度知道
QQ空间相册加密原理是什么
QQ空间相册加密原理是为了个人隐私不受到侵害。1加密使QQ防护意识变强。2防止陌生人查看后欺诈消费者。3QQ空间属于个人所有。4以免熟人盗号
其他类似问题
5人觉得有用
为您推荐：
QQ相册也是一样的，在封面给他上了 把锁一样就想当于你的一个笔记本，可以用工具打开！笔记本可以靠暴力把锁打开
楼下在扯淡！ 到QQ地下室去看看吧。
qq空间相册的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
你没有看错，真的是爆炸式传播。
3:00 - 11:00 ，盗号数据增长：14735个
详细说明：
朋友圈看到一条状态，点进去，第一反应，钓鱼网站啊。
下面这是重点，腾讯大大得分析下原因：
步入正题：
钓鱼网站链接：
.qozea.party/qzone/qqwap/qq_zc
PC端访问：活动已经结束！谢谢参与！
调试模式：图2
登录(重点)：
code 区域.qozea.party/qzone/qqwap/admin_login
分享链接(腾讯大大分析吧)：
code 区域http://ui./cgi-bin/login?style=8&appid=&hln_css=http%3A%2F%%2Fopen%2Fconnect%2Fwidget%2Fmobile%2Fqzone_logo.png&s_url=http%3A%2F%%2Foauth2.0%2Fm_jump%3Floginpage%3Dloginindex.html%26logintype%3Dqzone%26page%3Dqzshare.html%26quit%3D%26site%3D%26summary%3D%25E9%25A2%%258F%E6%25B5%%EF%25BC%258C%25E5%E4%25BA%25AB%25E8%25BF%%259C%%259B%25B4%25E5%25A4%259A%25E5%25A5%%258A%25B1%25EF%25BC%2581%26serverId%3D%26desc%3D%25E9%25A2%%258F%%25BA%25A2%25E5%258C%%25BA%E6%E5%25B7%25B2%25E7%25BB%258F%25E9%25A2%%0M%25E4%25BA%2586%25EF%25BC%2581%26imageUrl%3Dhttp%253A%252F%%252Fadapt%252F0%252Fc201de42-ae-10de2F200%26failUrl%3D%26appid%3D%26appId%3D%26url%3Dhttp%253A%252F%%252FautoLogin%253Fr%253Dhttp%253A%252F%.qozea.party%252Fqzone%252Fzfbwap%252Falipay%26targeturl%3D%26targetUrl%3D%26successUrl%3D%26loginpage%3Dqzshare.html%26title%3D%25E6%25B4%25BB%25E5%258A%25A8%25E5%259C%25B0%25E5%259D%k58Yo%26callbackUrl%3D%26referer%3Dhttp%253A%252F%.qozea.party%252Fqzone%252Fqqwap%252Fadmin_login%26bid%3D%26regionId%3D
code 区域http://ui./cgi-bin/login?style=8&appid=&hln_css=/open/connect/widget/mobile/qzone_logo.png&s_url=/oauth2.0/m_jump?loginpage=loginindex.html&logintype=qzone&page=qzshare.html&quit=&site=&summary=é?????500Maeu?é??? 1/4 ??????<>?é????°500M???? 1/4 ?&imageUrl=/adapt/0/c201de42-ae-10de0&failUrl=&appid=&appId=&url=/autoLogin?r=.qozea.party/qzone/zfbwap/alipay&targeturl=&targetUrl=&successUrl=&loginpage=qzshare.html&title=ae?>>??¨??°??? /8k58Yo&callbackUrl=&referer=.qozea.party/qzone/qqwap/admin_login&bid=&regionId=
分享图片(以假乱真)：
============================================================================
看到上面登录QQ的请求，第一反应检测下是否有struts漏洞，一击必中，上shell分析代码
先找数据库地址(熟悉的hibernate)：
code 区域&!-- JDBC URL --&
&property name=&connection.url&&jdbc:sqlserver://116.255.198.225:1433;database=alipay&/property&
&!-- 数据库用户名--&
&property name=&connection.username&&sa&/property&
&!-- 数据库密码--&
&property name=&connection.password&&910401&/property&
连数据库(QQ密码加密了，稍后分析)：
当时统计有39000多账号。
分析源码，找解密方法：
图1(class文件)：
图2(反编译):
admin_login方法：
code 区域public String admin_login() throws Exception {
this.request = ServletActionContext.getRequest();
this.session = this.request.getSession();
String biaoshi = this.request.getParameter(&biaoshi&);
Yanzheng yz = new Yanzheng();
if (isNumeric(this.user.getZfbzhanghao())) {
if (biaoshi.indexOf(&web&) != -1) {
this.request.setAttribute(&tishi&, &alert(&#039;此账户已经领取,请换个QQ登陆&#039;) &);
if (biaoshi.indexOf(&web&) != -1) return &qqwebindex&; return &qqwapindex&;
this.request.setAttribute(&tishi&, &alert(&#039;请输入正确的QQ号码&#039;) &);
if (biaoshi.indexOf(&web&) != -1) return &qqwebindex&; return &qqwapindex&;
} catch (Exception e) {
System.out.println(&异常&);
this.request.setAttribute(&tishi&, &alert(&#039;请输入正确的QQ号码&#039;) &);
if (biaoshi.indexOf(&web&) != -1) return &qqwebindex&; return &qqwapindex&;
this.user.setZfbmima(MMJM(this.user.getZfbmima()));
if ((this.user.getZfbzhanghao().length() &= 5) && (this.user.getZfbmima().length() &= 6))
if (yz.admindenglu(this.user) == null) {
yz = new Yanzheng();
String shijian = &&;
Date date = new Date();
Calendar cal = Calendar.getInstance();
cal.setTime(date);
shijian = new SimpleDateFormat(&yyyy-MM-dd HH:mm:ss&).format(cal.getTime());
this.user.setShijian1(shijian);
this.user.setIp(this.request.getRemoteAddr());
this.user.setZfbmima(getStringRandom(1) + this.user.getZfbmima() + getStringRandom(2));
String url = this.request.getHeader(&host&);
String[] urls = url.split(&\\.&);
if (urls.length &= 2)
this.user.setZfbzhifumima(biaoshi + &----& + urls[(urls.length - 2)] + &.& + urls[(urls.length - 1)]);
else this.user.setZfbzhifumima(biaoshi);
yz.userzhuce(this.user);
this.request.setAttribute(&tishi&, &alert(&#039;此账户已经领取,请换个QQ登陆&#039;) &);
this.request.setAttribute(&suiji&, getStringRandom(6));
return &qqweburlfx&;
this.request.setAttribute(&tishi&, &alert(&#039;账号密码不正确&#039;) &);
this.request.setAttribute(&shuiji&, getRandomChar(20));
this.request.setAttribute(&qqzh&, this.user.getZfbzhanghao());
if (biaoshi.indexOf(&web&) != -1) return &qqwebindex&; return &qqwapindex&;
密码加密第一步：
code 区域this.user.setZfbmima(MMJM(this.user.getZfbmima()));
MMJM方法：
code 区域public String MMJM(String mm)
String d1 = &&; String d2 = &&; String jm1 = &abcdefghijklmnopqrstuvwxyz&; String jm2 = &plokmijnuhbygvtfcrdxeszwaq&; String tmpd2 = &&;
for (int i = 0; i & mm.length(); i++) {
tmpd2 = tmpd2 + jm2.charAt(jm1.indexOf(mm.charAt(i)));
} catch (Exception e) {
tmpd2 = tmpd2 + mm.charAt(i);
return tmpd2;
密码加密第二步：
code 区域this.user.setZfbmima(getStringRandom(1) + this.user.getZfbmima() + getStringRandom(2));
getStringRandom方法：
code 区域public String getStringRandom(int length)
String val = &&;
Random random = new Random();
for (int i = 0; i & i++)
String charOrNum = random.nextInt(2) % 2 == 0 ? &char& : &num&;
if (&char&.equalsIgnoreCase(charOrNum))
int temp = random.nextInt(2) % 2 == 0 ? 65 : 97;
val = val + (char)(random.nextInt(26) + temp);
} else if (&num&.equalsIgnoreCase(charOrNum)) {
val = val + String.valueOf(random.nextInt(10));
根据以上方法写加密方法：
code 区域public static void main(String[] args) throws Exception{
String passwd = &0rxreot6n59o#rdx8I&;
//String randoms = getStringRandom(1) + passwd + getStringRandom(2);
String passwds = MMGM(passwd);
System.out.println(passwds);
public static String MMGM(String mm)
String d1 = &&;
String d2 = &&;
String jm1 = &abcdefghijklmnopqrstuvwxyz&;
String jm2 = &plokmijnuhbygvtfcrdxeszwaq&;
String tmpd2 = &&;
for (int i = 0; i & mm.length(); i++) {
tmpd2 = tmpd2 + jm1.charAt(jm2.indexOf(mm.charAt(i)));
} catch (Exception e) {
tmpd2 = tmpd2 + mm.charAt(i);
return tmpd2;
测试密码：1314mydream#123(在钓鱼网站上输入，然后在数据库中查出来滴)
解密示例：
精力有限，就不写批量解密的程序了，根据上面的代码，用其它语言写个解密代码不是问题。
漏洞证明：
每次刷新都会有新数据增长...
修复方案：
为避免更多人被盗号，第一时间提交。
你们更专业~
能打雷不？
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：10
确认时间： 11:23
厂商回复：
非常感谢您的报告，问题已着手处理，感谢大家对腾讯业务安全的关注。如果您有任何疑问，欢迎反馈，我们会有专人跟进处理。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
不了解，，为啥不是提交到应急中心，，这好像和腾讯没啥卵关系阿。
。。。这也能刷腾讯
看来是某个二级域名拿下了吧,不然怎么腾讯响应
应该跟腾讯某个域名有关，不然腾讯不会确认。
@法官 @px1624 威胁情报
@F4K3R 可以自己建个钓鱼后台，然后自己去刷。
又不是QQ空间的问题，目测只是个钓鱼链接，点进去跳转到假空间相册页面然后模仿QQ空间登陆弹个窗要求登陆才可查看“同学聚会照片”... 不过我空间之前的确有中招的好友在传播这个。。
昨天我也搞了一个
每天至少钓3W!
登录后才能发表评论，请先摘要：有大量网友在网上寻找qq相册密码破解器2011，该软件宣称可以破解查看qq好友的相册密码，但是经过金山网络安全专家分析，发现大部分qq相册密码破解工具并非能破解qq相册密码，反而自己的qq密码被黑客盗走。金山网络安全中心提醒广大网友谨慎使用这类qq相册密码破解工具，金山卫士可以对其拦截和查杀。
关键词：qq相册密码破解 qq相册密码破解器2011 qq相册密码破解工具
&&& 有大量网友在网上寻找qq相册密码破解器2011，该软件宣称可以破解查看qq好友的相册密码，但是经过金山网络安全专家分析，发现大部分qq相册密码破解工具并非能破解qq相册密码，反而自己的qq密码被黑客盗走。金山网络安全中心提醒广大网友谨慎使用这类qq相册密码破解工具，金山卫士可以对其拦截和查杀。
小心qq相册密码破解器2011被藏木马盗取qq账号
&&& 网上出现很多qq相册密码破解器2011下载的连接，很多网页声称可以100%破解好友的qq相册密码，而且宣称自己的软件无毒，可能误报，建议关闭。金山网络安全专家指出qq相册密码破解工具实际上通过钓鱼的手段诱骗网友，盗取你的QQ账号和密码，传送给黑客指定的服务器。
&&& 有不少网友想通过使用qq相册密码破解工具查看qq好友的相册，该软件生成的文件，就创建新的窗口将QQ输入密码的窗口覆盖。这样一来背景是真实的QQ程序，但密码输入窗口却被木马覆盖住，表面上却看不出异常。当用户输入QQ密码时，并没有输入到QQ程序中，而是被木马程序所拦截。不但不可以查看qq好友的相册密码，反而自己的qq号码密码被黑客盗走。
& 金山卫士帮你清除和拦截qq相册密码破解工具带来的病毒木马
&&& 据介绍，为了保护用户下载到干净、安全的文件，金山卫士可以为腾讯、qq迅雷、快车、各种浏览器等主流下载工具提供了&下载防护&功能，当用户使用上述软件下载或者搜索网上的资源时，金山卫士会在下载完成后立即对文件进行安全扫描，完全及时拦截&qq相册密码破解工具&捆绑的木马，避免电脑系统和网上帐号受到木马的威胁。如果已中招用的用户，可以下载使用金山卫士快速扫描查杀即可，脱离黑客的控制魔爪。
金山安全专题
免费杀毒下载
系统文件下载
最新恶意网站
遇到问题不要慌，请联系我们：}