一、簡介
QQkey是一段字符串,通過這段字符串在沒有QQ登錄密碼的前提下你依然能夠在瀏覽器中對別人QQ空間、郵箱等應用進行隨意訪問和操作。現在市面上已經有很多使用易語言編寫的盜號木馬,專門盜取別人的QQkey,通過QQkey改綁關聯了該郵箱的Steam賬號,最終達到游戲盜號的目的!
二、原理
QQkey並沒有人們想象的那么神奇,它其實是騰訊為了方便用戶在網頁上進行快速登錄而推出的一項技術,就好比下面這張圖。當你在本地登錄QQ客戶端的時候,打開網頁版QQ空間,瀏覽器就會檢測並提示你進行快速登錄(此時你是不需要另外輸入QQ密碼的)。當然QQ和瀏覽器作為2個毫不相干的應用程序,它們之間其實是不能直接進行數據交換的,QQ客戶端在每次啟動的時候都會在本地打開一個或多個監聽端口(4300-4308),當瀏覽器訪問某些QQ頁面的時候瀏覽器就向QQ客戶端事先開放的監聽端口發送GET請求,此時QQ客戶端就充當起了WEB服務器的角色,它會向瀏覽器返回當前本機登錄QQ的詳細信息,瀏覽器通過這些信息就能實現用戶的快速登錄。而QQkey就是這些信息中最重要的一個字段。
三、手動獲取QQkey
1、首先在瀏覽器中打開QQ空間(https://qzone.qq.com/)
2、按“F12”打開瀏覽器開發者模式,選擇“Network”,按“F5”刷新網頁
3、在“Name”窗口找到以“pt_get_uins”開頭的項目,復制完整的請求地址(RequestURL)
4、將URL粘貼到Postman中,添加並修改請求頭
5、Send后在返回中可以獲取本機登錄的QQ賬號和昵稱等信息
6、使用獲取到的QQ號和pt_local_tk修改以下URL
1 https://localhost.ptlogin2.qq.com:4301/pt_get_st?clientuin=【QQ號】&callback=ptui_getst_CB&r=0.4266647630782271&pt_local_tk=【pt_local_tk】
7、將修改后的URL填入Postman
8、從返回的Cookies中獲取Clientkey
四、總結
以上我們手動獲取到的Clientkey,其實就是別人經常說的QQkey了。市面上的盜號木馬其實就是模擬手動的方式,利用Http的GET請求來獲取然后通過郵件的方式盜取別人QQkey的。下一篇文章我會為大家介紹如何使用接口+QQkey的方式來登陸QQ空間、QQ郵箱等網頁應用!