qq安全中心电脑版登录那拼图

来源:蜘蛛抓取(WebSpider) 时间:2016-04-01 22:43 标签: QQ安全中心电脑版登录

· TA获得超过3万个赞

你对这个回答嘚评价是


· 每个回答都超有意思的

qq安全中心电脑版登录在哪里打开

你对这个回答的评价是?

下载百度知道APP抢鲜体验

使用百度知道APP,立即抢鲜体验你的手机镜头里或许有别人想知道的答案。

使用手机二维码软件扫描下载

帐號安全状态随身全知道

隐藏风险?不怕安全通知来帮您。 当您的帐号异地消费Q币…… 当您的帐号修改了密保、密码…… 当您的帐号解除了游戏安全模式…… 直接推送消息到手机您马上就知道!

还有更详细的通知不断升级中,敬请期待!

Q币、装备保护安全放心!

装备被洗劫一空?不怕财产保护来帮您! 消费您的Q币,登录您的游戏必须有您的二次确认。 这是银行级别的安全服务!

各种验证点一下就通过!

钓鱼网站真假难辨不怕,一键验证帮您 动态密码的时代已经过去。 您还不快试试升级换代的一键验证嘛 您的帐号,在什么业務做了什么,一目了然!

不用QQ 锁上就放心!

QQ里的隐私信息要如何保护? 您的密码有Ta知道 您要出门旅行,半个月不用QQ 如果您也有这些问题,不妨试试帐号锁吧

QQ有异常,随时改密!

发现QQ被盗用 发现密码被人知道了? 觉得自己QQ不安全 手机随时快速改密,帮您摆脱这些烦恼!

1.在火狐浏览器中进入登录界面,清空账号框

输入一个瞎编的qq号之后点击密码框点开出现的check包,发现与不需要验证码的check返回有区别

暂时不知道这些参数都是干嘛用的峩们继续。

以下是我熬夜做出来的o(╥﹏╥)o做教程的时候才发现腾讯原先的验证码登录换成了滑块,于是现抓现写好在与原先验证码登錄的几个包没差多少。

2.随意输入密码点击登录

不知道里面的参数是干嘛的我们先留着。里面的参数经过前面讲的火狐浏览器的逐渐删参數法(之后用到逐渐删参数法的地方均省略过程)最后确定剩余五个参数。

aid在上面被盖住了不必说他是什么了。clientype和apptype为固定值2uid是qq号。cap_cd经过對比与check包中的第二个参数对应。

3.第三个包是css不分析。

是个html腾讯为什么要在一个接口返回html呢?可能每次里面的加密方式都不一样(有點后怕)

其中长长的ua我们在前面的返回内容上好像没看到过,我们暂时忽略去掉之后好像没影响网页内容。经过逐渐去参数法剩余这几個参数。


4.中间很多数据包都没用不是html静态页面就是js,还有样式表(css)还有图片。


之后就是两个cap_union_new_getcapbysig经过对比,仅最后一个参数img_index不同前者为1,后者为2返回的分别是滑块界面底图和滑块碎片图。


看了参数之后就是逐步去参数了但是这个网页就算是原链接重新访问,也会出现500錯误可能腾讯不允许这个接口中的某个参数重复使用吧。

突然发现验证码界面有刷新按钮于是清除目前的抓包,点击刷新

发现一个剛才没看到过的包(可能之前不小心一并清除了吧),cap_union_new_getsig包看看他返回了什么。

发现一个取验证码图片需要用的参数vsig

其实抓了这么久我们发現腾讯很多登录过程包的包体结构大体类似,于是我们大胆猜测:对于取验证码图片包可能有如下参数。

当然不管你怎么重发这个包,腾讯都会给你返回错误既然不让第二次访问,那我在浏览器第一次发包之前把包的参数删减一些然后再发上去,看看腾讯是否给你圖片不就得了。这个功能谷歌浏览器中有火狐有没有我不知道,因为我的工作重心放在谷歌上事实证明这样发送是正确的,以下为穀歌浏览器验证过程(这里可能略微长并且难懂后面教程中有一个没法二次访问的接口也用了这个方法验证,你可以选择跳过以下粗体字蔀分):

别忘了点美化代码按钮然后ctrl+f直接寻找getcapbysig关键词

正好找到两个,分别对应两个图片然后分别在这两个地方(1313和1336下断点)

然后点击安全验證中的刷新图片按钮,js在第一断点处停止右侧查看器可以看到n的值。

n的值有点长我们双击选定然后ctrl+c复制到记事本或者任意的文本编辑笁具里,方便修改之后复制进去

根据上文的猜测删除没用的参数,一定要快删不然时间长了可能有的参数会失效,更改之后的结果

下┅段是滑块碎片图片与背景图接口大同小异,所以我们这里不费心来修改了直接继续跳断点直到程序执行完(也就是加载出图片)。

发现褙景图在删除我们预料之外的参数之后仍然能显示切换到network选项卡,背景图接口包的链接和我们预计的一样于是我们的猜想是正确的。

5.峩们把滑块滑到正确的地方出现新的数据包

1包为验证的最后一步的包,因为之后分别是两个报告一个2包开始登陆,还有一个因为密码錯误而为下次登录准备的check包3包
点开验证包1包,查看其返回的数据

还有一个代表验证成功的ok
看看他的headers请求头(往下翻可以看到参数)

对参数僦是这么多,看看有哪些我们熟悉的参数
思考:滑块位置可以用什么表示呢那只能是坐标啦,二维坐标表示方法就是x和y嘛
然后我们就嫃的发现了这个东西

那验证的时候把这货带上就好啦。经过对比他的y值(上图中的140)来源于cap_union_new_getsig包返回的inity的值,此值为滑块所在的纵坐标因为滑块是水平移动,所以其纵坐标不变他的横坐标就是需要人类来滑出答案啦!
经过上文粗体字那个方法的验证(提示:在cap_unuin_new_show源码中的1515行下断点,修改C中各项的值)发现并不好使。

可能是我们少了参数于是我们先把那些长的一匹的、没有已知来源的参数ua、websig、fpinfo去掉,经过上文粗体芓方法的验证这些参数确实不需要有就可以完成验证,那我们可以松一口气其他参数全部当做定值处理。成功之后返回

如果你非要较嫃的话我可以告诉你真正需要的参数有这些

Apptype和clientype可以没有,cdata是你完成拼图的秒数(精确到小数点后一位)乘十Subcapclass在cap_union_new_show的源码的第1496行,为定值10没什么用的参数websig在1501行,为定值每次访问cap_union_new_show返回的websig都不同,没什么用的参数fpinfo和cookie中fp3_id1参数相同为什么我要和你说这些,因为我废了很久的功夫分析了他们最后发现没用但我也不能白分析,对吧所以我就告诉你了。


6.验证ok之后就是login包了和我们第二节分析的login登录基本相同,但是有┅些不同的地方

经过对比,其中的参数verifycode是验证成功包返回的@开头的那四个字符pt_vcode_v1不需要验证为0,需要验证为1pt_verifysession_v1为验证成功包返回的ticket,其餘均遵照第二节登录包的规律就可以了
需要qq安全中心电脑版登录令牌的登录
1.使用一个需要qq安全中心电脑版登录6为密码验证才能登录网页嘚QQ,一直弄到这个界面

可以看到login包的返回数据发生了变化

由此可以再你的程序里判定用户是否需要验证密保

2.发现新的数据包,点开看返囙数据

好像有乱码那我们先看参数

验证成功之后会返回一个链接,访问那个链接就能获得cookie
bkn的计算方式及腾讯为什么要弄bkn
1.登录之后到成員管理,打开开发者工具然后刷新页面。看到这个包点开

2.打开sources选项卡按ctrl+alt+f全局搜索,在下面出现搜索栏输入bkn然后回车搜索

之后双击搜索结果,美化代码之后看到了如下图所示界面

可以看到这个404行数据包data中一个叫bkn的参数来自于t函数,上面刚好有t函数源码其内容为:e为cookieΦ的skey,t为5381n为0,o是那个skey的长度每次循环:t自加t的位左移5位再加e中第n个字母或符号对应的ascii码,之后n自加1循环直到o比n大结束。最后返回和t位与的结果
其e4a源码如下,其余语言请自理

我认为为什么腾讯要有bkn:为了你的安全着想在所有具有操作性质的接口和能够获取用户隐私嘚接口都有bkn存在。而bkn只能由cookie中的参数skey计算得出能够给出bkn就代表操作者拥有用户的cookie。举例:手机qq中点击腾讯的网站如果这个网站需要登錄(需要腾讯网页cookie),那么你会自动登录成功因为手q自带浏览器能在qq域名中自动给出有效cookie,无需登录而如果没有bkn这个参数,你访问别人的網站别人的网站可以让你跳转到腾讯的某个接口,跳转之后因为浏览器已经有了cookie腾讯就以为是你进行了操作。没有了bkn给你的直观感受就是,如果别人在网站中封装了腾讯自助冻结接口你访问他的网站,然后你qq就被冻结了这就是bkn对你的保护作用。

我要回帖

更多关于 QQ安全中心电脑版登录 的文章

 

随机推荐