首先我们来看一下QRLJacking的实际原理:.攻击者首先进行客户端QR会话,并将登录QR码复制到网络钓鱼网站。“现在,一个精心制作的网络钓鱼页面有一个有效和定期更新的QR码可以被发送给受害者。”

本文作者:gh0stkey

前言

某天晚上,key在研究了一下朋友圈在传的QQ点击劫持,直接导致QQ冻结24小时。然后我们一起交流着聊着聊着扯到了二维码劫持这个话题上,发现国内也没有一些实战性的文章,所以针对微信展开了二维码劫持的实战。(顺便让我安静的做个小小的标题党)

原理

首先我们来看一下QRLJacking的实际原理:

1.攻击者首先进行客户端QR会话,并将登录QR码复制到网络钓鱼网站。“现在,一个精心制作的网络钓鱼页面有一个有效和定期更新的QR码可以被发送给受害者。”

2.攻击者将钓鱼页面发送给受害者。

3.受害者使用特定目标移动应用扫描QR码。

4.攻击者获得受害者帐户的控制权。

5.该服务正在与攻击者的会话交换所有受害者的数据。

这个原理的缺陷在于 -> 攻击者需要打开客户端QR会话,所以就只能进行1V1的实时性攻击,缺陷较大。

而我们实验室的成员在交流的时候发现其实可以实时撒网式QRLJacking(命名为:Netting-QRLJacking),恰好之前研究过微信的WEB协议,所以这里拿微信来当作“实验靶机“。

Netting-QRLJacking的原理如下:

1.攻击者首先精心制作一个网络钓鱼页面,钓鱼页面获取真实页面的二维码。

2.攻击者将钓鱼页面发送给受害者。

3.受害者使用特定目标移动应用扫描QR码。

4.攻击者后台获得受害者帐户的认证链接。

5.攻击者打开认证链接后直接控制受害者的微信权限。

协议分析

因为写过微信机器人,所以第一时间想起了wxpy这个神奇的模块,不过很有意思的写第一条命令的时候就遇到挫折:

from wxpy import *

bot = Bot()

Bot()需要执行完之后才会执行下一条代码,但是我用的Flask框架的代码就无法执行。

那怎么办?只能自己去分析微信QR快速登陆的WEB协议:

1. 获取uuid

(这个uuid是一个很关键的东西,我们可以通过接口去获取)

接口:

https://login.weixin.qq.com/jslogin

POST正文:

appid=wx782c26e4c19acffb&fun=new&lang=zh_CN

返回结果:

2. 获取的uuid与链接https://login.weixin.qq.com/qrcode/组合-> https://login.weixin.qq.com/qrcode/ob8jLaxD6Q==

返回结果:

aHR0cHM6Ly9sb2dpbi53ZWl4aW4ucXEuY29tL2wvb2I4akxheEQ2UT09 (二维码自动识别)

(这就是二维码的地址)

3. 监听接口https://login.wx.qq.com/cgi-bin/mmwebwx-bin/login?loginicon=true&uuid=uuid&tip=1&r=855749254&_=1502382803479

GET请求参数中的uuid也就是上面的uuid,正常组合就行。

这个监听接口打开,只要有人扫描2的二维码那么就会返回消息:

这个返回的其实就是微信头像而已:

真的只是头像而已么?有心的人已经注意到了最开始有一个window.code=201,这个window.code=201是扫描成功后会返回的,而如果二维码时效性过期就会返回window.code=400。

window.userAvatar 是头像,window.redirect_uri是用户凭证链接(这里只要我们点开链接直接可以进入用户微信WEB界面进行任意操作)

代码编写

这里使用一个能够快速开发flask的框架来完成

首先定义一个index的route当用户访问index时调用获取uuid的接口 将其渲染到模板中

模板获取后端传过来的uuid 并用img标签去调用获取二维码的接口
在客户端上显示出来 紧接着轮询二维码扫描的API

并且判断各种情况 尽可能实现地和微信一样

前端轮询代码

二维码扫描的route:

前端用ajax请求后端 将返回的结果转换为Javascript表达式

当全局里面的code为408的时候说明没有扫描
继续递归调用当前函数

当全局里面的code为400的时候说明二维码过期了
自动刷新当前界面获取新的二维码

当全局里面的code为201的时候说明扫描成功了
但没有在移动终端点击确认 将返回的用户头像渲染到界面中 继续递归调用当前函数

当全局里面的code为200的时候说明用户在移动终端点击确认了
这时候将返回的redirect_uri传入到后端 接着跳转返回的redirect_uri

扫描成功时调用的route:

钓鱼实践

You died.戏剧性的是这里key自己日了自己了,奶权并没有上当~

研究人员gh0stkey 来自米斯特安全攻防实验室 @ 奶权 & vulkey

参考资料:

https://www.owasp.org/index.php/Qrljacking

http://wxpy.readthedocs.io

微信Netting-QRLJacking分析利用-扫我二维码获取你的账号权限的更多相关文章

  1. 利用JAVA生成二维码

    本文章整理于慕课网的学习视频<JAVA生成二维码>,如果想看视频内容请移步慕课网. 维基百科上对于二维码的解释. 二维条码是指在一维条码的基础上扩展出另一维具有可读性的条码,使用黑白矩形图 ...

  2. 【转】Android平台下利用zxing实现二维码开发

    http://www.cnblogs.com/dolphin0520/p/3355728.html 现在走在大街小巷都能看到二维码,而且最近由于项目需要,所以研究了下二维码开发的东西,开源的二维码扫描 ...

  3. Android平台下利用zxing实现二维码开发

    Android平台下利用zxing实现二维码开发 现在走在大街小巷都能看到二维码,而且最近由于项目需要,所以研究了下二维码开发的东西,开源的二维码扫描库主要有zxing和zbar,zbar在iPos平 ...

  4. (转载)Android平台下利用zxing实现二维码开发

    Android平台下利用zxing实现二维码开发 现在走在大街小巷都能看到二维码,而且最近由于项目需要,所以研究了下二维码开发的东西,开源的二维码扫描库主要有zxing和zbar,zbar在iPos平 ...

  5. 微信小程序通过二维码获取参数运行

    小程序开发过程中会遇到参数id会通过二维码获取,然后执行接口获取数据,但是难免会遇到带过来的参数出现乱码,这样就需要解码,多个参数时就需要进行处理取我们需要的字段值:小程序开发过程中会遇到参数id会通 ...

  6. 微信公众号生成带参数的二维码asp源码下载

    晚上闲着没事,一个朋友联系,让帮忙写一个微信公众号利用asp生成带参数的二维码,别人扫了后如果已经关注过该公众号的,则直接进入公众号里,如果没关注则提示关注,关注后自动把该微信用户资料获取到并且保存入 ...

  7. 网页授权——扫二维码获取openid

    最近做微信公众平台开发项目时遇到这样一个功能需求:生成一个特定url的二维码,用户扫描二维码后跳转到这个url指定的页面,并在这个页面获得用户的openid.这个功能主要涉及到两方面的技术:生成二维码 ...

  8. 微信小程序开发之普通链接二维码

    本文主要介绍扫普通链接二维码打开小程序, 详情请看官方文档https://mp.weixin.qq.com/debug/wxadoc/introduction/qrcode.html 配置普通链接二维 ...

  9. 利用PHP生成二维码(转)

    导读:在二维码广泛应用化的今天,在web站点中自动生成对应的二维码是最基础的需求.文章介绍了使用PHP自动生成二维码的三种方式. get方法实现方式一: $urlToEncode="163. ...

随机推荐

  1. Jmeter发送某个request时而成功,时而失败(处理办法:失败的时候尝试重新发送这个HTTP request)

    Jmeter发送某个request时而成功,时而失败 Maybe it’s Jmeter’s problem, after all, is not a commercial software. And ...

  2. Netty 零拷贝(一)NIO 对零拷贝的支持

    Netty 零拷贝(二)NIO 对零拷贝的支持 Netty 系列目录 (https://www.cnblogs.com/binarylei/p/10117436.html) 非直接缓冲区(HeapBy ...

  3. 使用nmon来按频率采集数据

    # nmon -s1 -c60 -f -m /home/nmon # ll /home/nmon/ total 15220 -rw-r--r-- 1 root root   23923 Oct 14 ...

  4. 1、GDB程序调试

    GDB是GNU开源组织发布的一个强大的Linux下的程序调试工具.一般来说GDB主要完成下面四个部分的功能. 1)启动你的程序,可以按照你的自定义的要求运行程序. 2)可让被调试程序在你所指定的调试的 ...

  5. Silverlight或WPF动态绑定图片路径问题,不用Converter完美解决

    关于Silverlight或WPF动态绑定图片路径问题,不用Converter完美解决, 可想,一个固定的字符串MS都能找到,按常理动态绑定也应该没问题的,只需在前面标记它是一个Path类型的值它就能 ...

  6. 构造函数constructor 与析构函数destructor(四)

    拷贝构造函数:拷贝构造函数就是在用一个类对象来创建另外一个类对象时被调用的构造函数,如果我们没有显示的提供拷贝构造函数,编译器会隐式的提供一个默认拷贝构造函数. 拷贝构造函数的定义是X(const X ...

  7. const当做标记的函数重载,但是仅仅是限于类里面的成员函数

    (1)我们知道函数的重载时根据函数的参数类型以及函数参数个数来重载的,不能用函数返回值来重载函数.但是有时候函数参数个数和函数参数类型重载函数会和默认参数发生冲突: int fun(int i,cha ...

  8. C# winIO32位,64位的使用(运行时要用管理员身份)

    下载地址: http://www.internals.com/utilities/WinIo.zip 一个按键的消息产生流程如下: 1)硬件中断/硬件端口数据 WinIO能模拟,或者修改IDT是在这一 ...

  9. PAT甲 1007. Maximum Subsequence Sum (25) 2016-09-09 22:56 41人阅读 评论(0) 收藏

    1007. Maximum Subsequence Sum (25) 时间限制 400 ms 内存限制 65536 kB 代码长度限制 16000 B 判题程序 Standard 作者 CHEN, Y ...

  10. Dalvik虚拟机java方法执行流程和Method结构体分析

    Method结构体是啥? 在Dalvik虚拟机内部,每个Java方法都有一个对应的Method结构体,虚拟机根据此结构体获取方法的所有信息. Method结构体是怎样定义的? 此结构体在不同的andr ...