记一次对利用王者荣耀送皮肤盗号的网站的分析

今天刚下了一个坑爹游戏，加载半天就是加载不出来，我差点就砸电脑了。

还好，突然发现有人在群里发了这么一个玩意儿，吸引了我的注意力。

一开始我还以为这个只是一张图片，但是我点开一看，居然是一个链接？？

不用说了，肯定是xml了，但是这么大一张图片的xml我还是第一次见，所以我已经开始有点怀疑这个的真实性了。

点开之后，是这样的：

我去，100%中奖，假的无疑了，本来打算直接关掉走人的，但是，我习惯性的下拉准备看看URL时：

啥玩意儿？居然还是官网？难道真是真的活动？

然而，我一激动用力多拉了几下：

厉害了！居然还知道伪装了！果然和外面的那些妖艳贱货不一样啊！

瞬间，我的兴趣就被吊起来了，我决定好好研究研究它这个网站。

首先，我复制了它的URL，然后使用电脑打开：

我去，直接跳转到真正的腾讯官网了，看来它是判断了UA之类的了吧。

我把浏览器ua设置成ipad：

又跳转到官网了，看来它只想骗安卓？23333

于是我又把ua换成安卓，终于不跳转了，于是我又点了一下开始抽奖，靠！又跳转回 官网了！

难道它为了避免被稍微有点常识的人发现它的URL不对，所以只允许在手机qq里访问？（注：手机qq中打开网页不能直接查看链接，只能通过下拉查看，然而，这个网站还监听了下拉操作，一旦不小心就会被骗）

靠啊，我还能怎么办？只能获取了一下我手机qq的UA然后写进Chrome里，重新访问了，然而....还是跳转了！

而且我还发现，只能点一次开始抽奖，之后点击就只会弹出提示框让登录（盗号），我猜想应该是使用了cookie记录是否点击了开始抽奖按钮，以及抽中的奖品，快速查看了一下，它是使用 ti 字段记录了是否已经点击了开始抽奖

而抽中的奖品则是使用这几个：

字段来记录的。

后来没办法，我只能继续用手机qq实际测试一下，发现点击登录后会跳转到这么一个界面：

不得不佩服，做的非常的像啊。

但是使用手机qq无法获取到该页面的连接地址，使用chrome由模拟不出来手机qq的UA。

但是，没什么是不可能的，我直接查看了首页的源代码，找到了登陆页面的URL：

很明显，直接打开的话一如既往的跳转到了官网。

不过，不就是跳转嘛，我不让你跳转不就得了嘛。

我使用python直接获取了 ./login.php 的html源码：

靠，还加密？可是你这个加密又有何意义呢？你的解密脚本都是公开的...

decode后 很明显的  很蛋疼的看到了判断UA的代码，我js就是渣渣啊，这个是说只要包含 “QQ/” 就不跳转吗？可是我已经在UA里写了呀

为什么还是会跳转？？？

靠啊，看到js就头疼，果断放弃！

我看看啊，它这个是输入了账号密码后就通过 ./save.php 保存了。

然后......额......我还是直接用手机qq来测试吧。

然后就提示需要分享到三个群才能领取，嗯，我分享就分享（当然是分享给自己的小号去了）。

分享回来后，嗯，还要分享？？？、

我不玩了还不行吗？

卧槽？

只要点了分享，无论你怎么做，都会跳回来弹框叫你分享，嗯，是的，退出不了了，死循环了！

但是，我会怕这个？直接强制 kill qq！

然后我又看了一下分享的内容：

靠？怎么和我一开始看到的不一样？？？？

打开一看，URL是形如 https://tg.sogou.com/su/BaT&B03C7phW4i&_wv=3 这种形式的，也就是说，它是调用了搜狗的API？那么我一开始看到的那种xml是从哪里流传出来的呢？？？？？

等会儿！刚才一直使用小号测试所以没发现，现在我直接发到qq群里居然真的记录了分享次数：

点击 马上添加 后，弹出的是......

也许只是他随手打的123456吧......

唉，蛋疼，我继续选择放弃....

我看看他的whois吧，按理来说使用 .cn 一定是实名认证过的。

然而：

看来只是才刚从第三方域名拍卖平台买回来的域名，以前我就注意到了这个“BUG”，难道现在还存在？

这个BUG就是....算了，不说了，我继续选择放弃...

我还是来看看ip吧。

靠啊，这是使用了腾讯的CDN的节奏啊！我还是选择放弃吧，毕竟我这种小老百姓没权限要求腾讯或者上面的某集团提供他们的客户信息，但也不是没办法获取到，只是我懒得去试了，我还是继续去研究一下那个游戏为什么加载不出来吧！

总结：不得不说，这个网站做的真的非常认真仔细， 真的十分佩服！

关于怎么识别这些盗号网站，无非就这几点：

1.不贪便宜，天上没有白掉馅饼的，100%中奖？还全是勇者、史诗皮肤？怕腾讯是傻子哦！

2.时刻注意打开网页的URL，比如上面的虽然伪装成了官网（pvp.qq.com），但是仔细观察还是能看到它的真实URL的。

3.让输入账号密码时一定要注意，建议先随便乱输几个试试，有一半来说像这种网站，要么是不管你输入什么都返回登录成功，要么就是不管输入什么都说登录失败（个别的还会在记录了你输入的数据后跳转到真正官网）。

惯例：附几个小彩蛋

找着找着突然变成这样，我也很无奈啊。

没错，这不仅是一个钓鱼网站，还会自动在手机里安装十万个木马！