首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

原来本地的所有软件都是可以知道当前登录了啥 qq 号的

  •  1
     
  •   cy97cool · 100 天前 · 1680 次点击
    这是一个创建于 100 天前的主题,其中的信息可能已经有所发展或是发生改变。
    curl 'https://localhost.ptlogin2.qq.com:4301/pt_get_uins?callback=c&pt_local_tk=.' -H 'Cookie: pt_local_token=.;' -H 'Referer: qq.com' -k
    

    返回信息包含当前登录的 qq 号,昵称

    但其他网站并不能拿到你的 qq 号:

    • pt_local_tk 起到一个 csrf_token 的效果 需要与 cookie 一致,跨域请求只有知道预先 qq.com 的 cookie 才能通过这个验证
    • Referer 中的域名必须以 qq.com 结尾

    然而这些限制在运行在客户端的软件而言都没任何作用

    credit: https://blog.caoyue.me/post/how-qq-quick-signin

    11 回复  |  直到 2019-01-14 18:24:28 +08:00
        1
    chinvo   100 天前
    > HTTP/1.1 400 Bad Request

    并没有用,这个 tk 不止和 pt_local_token cookie 相关
        2
    cy97cool   100 天前
    https://imgcache.qq.com/ptlogin/ver/10291/js/c_login_2.js

    r = "http" + (pt.ptui.isHttps ? "s" : "") + "://localhost.ptlogin2." + pt.ptui.domain + ":[port]/" + t + "&r=" + Math.random() + "&pt_local_tk=" + $.cookie.get("pt_local_token");
        3
    qiayue   100 天前 via Android
    你想太简单了,如果真有这样的漏洞也早补上了,不会留到 2019 年
        4
    mercury233   100 天前
    如果你用 chrome 记住了密码,那所有软件都能直接读取的
        5
    crab   100 天前
    都能本地运行软件了,窗口类名枚举也可以。
        6
    qq292382270   100 天前
    本地软件,最简单的就是检测 QQ 号文件夹状态都可以知道当前哪些号登陆了. 这是很正常的事 .
        7
    yunye   100 天前
    QQ 安装目录下的 QQ 号文件夹,看最近修改的是哪个,就知道是登的哪个 QQ 了
        8
    99junlin99   99 天前 via Android
    @mercury233 ???这么恐怖?
        9
    mercury233   99 天前
    @99junlin99 nirsoft 的 chromepass 了解一下。chrome 就是这个思路,同步的密码几乎明文的在本地存了一份,大概因为你电脑已经被入侵的话怎么加密都没意义
        10
    GDC   99 天前
    @crab
    @qq292382270
    @yunye

    不需要这么麻烦,本地软件模拟一个浏览器运行窗口,比如 C# Winform 的 WebBrowser,打开 https://id.qq.com/login/ptlogin.html 过一会解析页面上的元素就好了… 把控件弄隐藏,再加个模拟点击,还能拿到 cookies 呢…
        11
    Les1ie   98 天前
    QQ 用了 oicq 协议,发送的数据包里面包含了本地登录的 QQ 号
    QQ 发送的图片是明文传输

    不止本地客户端,链路上经过的设备也知道你发送的图,你的 QQ 号

    另外,同意 9 楼 的看法,如果电脑被入侵了,这些措施是没意义的。

    如果能在本地执行程序了,盗取 QQkey 比获取你的 QQ 号更有价值

    @mercury233 #9
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4091 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 07:55 · PVG 15:55 · LAX 00:55 · JFK 03:55
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1