一、簡介

QQkey是一段字符串，通過這段字符串在沒有QQ登錄密碼的前提下你依然能夠在瀏覽器中對別人QQ空間、郵箱等應用進行隨意訪問和操作?，F在市面上已經有很多使用易語言編寫的盜號木馬，專門盜取別人的QQkey，通過QQkey改綁關聯(lián)了該郵箱的Steam賬號，最終達到游戲盜號的目的！

二、原理

QQkey并沒有人們想象的那么神奇，它其實是騰訊為了方便用戶在網頁上進行快速登錄而推出的一項技術，就好比下面這張圖。當你在本地登錄QQ客戶端的時候，打開網頁版QQ空間，瀏覽器就會檢測并提示你進行快速登錄(此時你是不需要另外輸入QQ密碼的)。當然QQ和瀏覽器作為2個毫不相干的應用程序，它們之間其實是不能直接進行數據交換的，QQ客戶端在每次啟動的時候都會在本地打開一個或多個監(jiān)聽端口(4300-4308)，當瀏覽器訪問某些QQ頁面的時候瀏覽器就向QQ客戶端事先開放的監(jiān)聽端口發(fā)送GET請求，此時QQ客戶端就充當起了WEB服務器的角色，它會向瀏覽器返回當前本機登錄QQ的詳細信息，瀏覽器通過這些信息就能實現用戶的快速登錄。而QQkey就是這些信息中最重要的一個字段。

三、手動獲取QQkey

1、首先在瀏覽器中打開QQ空間(https://qzone.qq.com/)

2、按“F12”打開瀏覽器開發(fā)者模式，選擇“Network”，按“F5”刷新網頁

3、在“Name”窗口找到以“pt_get_uins”開頭的項目，復制完整的請求地址(RequestURL)

4、將URL粘貼到Postman中，添加并修改請求頭

5、Send后在返回中可以獲取本機登錄的QQ賬號和昵稱等信息

6、使用獲取到的QQ號和pt_local_tk修改以下URL

1 https://localhost.ptlogin2.qq.com:4301/pt_get_st?clientuin=【QQ號】&callback=ptui_getst_CB&r=0.4266647630782271&pt_local_tk=【pt_local_tk】

View Code

7、將修改后的URL填入Postman

8、從返回的Cookies中獲取Clientkey

四、總結

以上我們手動獲取到的Clientkey，其實就是別人經常說的QQkey了。市面上的盜號木馬其實就是模擬手動的方式，利用Http的GET請求來獲取然后通過郵件的方式盜取別人QQkey的。下一篇文章我會為大家介紹如何使用接口+QQkey的方式來登陸QQ空間、QQ郵箱等網頁應用！
————————————————

就目前情況看，學校新老生均有人收到類似郵件，其中有的郵件點開后要求輸入本人的QQ帳號和密碼。如果本人按照指示輸入，實際上就會有被盜號的風險。

據了解，一旦點擊了郵箱中提供的內容，就會自動跳回到QQ郵箱的登陸首頁，這時我們下拉網頁就可以發(fā)現，這也并不是QQ郵箱的官方網址，而是一個釣魚鏈接。不小心在這個網頁里輸入了QQ帳號和密碼，就會有被盜號的危險！

實際上，運用釣魚郵件進行網絡詐騙的事件，近年來層出不窮，此類郵件多以假借官方賬號達到騙取個人信息和賬戶資料等目的。

網絡資料顯示，所謂釣魚郵件，就是攻擊者偽造一封看似正常的郵件，郵件里包含釣魚網站的鏈接，讓受害者相信這是可信任的網站（比如公司OA、QQ空間、微博、甚至是支付寶、銀行等），讓受害者主動在網站上輸入賬號密碼等信息后，達到攻擊者竊取信息的目的。當受害者自己把信息給攻擊者之后，就會造成自己的QQ被盜號、公司機密泄露、甚至銀行卡錢被轉走等后果。

尤其是新生錄取通知書發(fā)放時期，作者提醒大家：提高警惕，防范詐騙，不輕信，不透露隱私，謹慎對待突如其來的郵件。