精华内容
下载资源
问答
  • QQ空间权限限制破解思路

    万次阅读 多人点赞 2014-11-25 17:19:38
    QQ空间是腾讯公司很有活力的产品,用户jg


    QQ空间是腾讯公司很有活力的产品,用户量非常巨大。多年前并不流行,但现在越来越多的用户在上面分享自己的照片新鲜事,QQ作为一个通讯工具,有时承载了太多的事情,很多不同的联系人都加在上面,但是有些时候,我们只是因为工作上的关系而加一下QQ,但是并不想让他们看到我们生活的全部,QQ详细全面的权限设置总是让人倍感温馨,超强的隐私保护使用起来也是非常放心。

    前些年空间的安全技术还不是太好,有一些比较低级的漏洞,这几年随着腾讯的重视,漏洞是越来越少,网上搜索到的破解QQ空间权限、查看加密像册的基本都不起作用,许多恶意软件还借机诈骗用户下载。

    作为安全人员,从技术角度提一些个人看法。仅供参考。


    思路一:利用SKEY

    基本方法可以见 http://www.phpzhuji.com/a/news/dongtai/2014/1111/115528.html

    登录QQ空间后,服务器会在客户端浏览器保存一个SKEY,每次浏览器访问qq.com 域下的网站时都会发送这个SKEY,服务器根据这个判断用户已经登录。如果拿到这个值,就可以假装是已经登录的用户。

    存在的未知,有待验证:

    1.SKEY有效期 

    估计是一天

    2.SKEY与IP是否绑定

    应该有绑定


    来看下面抓到的HTTP请求头:

    GET / HTTP/1.1
    Cookie: skey=@njGHHthuc; uin=o126******2;
    Accept: image/jpeg, */*
    Referer: qzone.qq.com
    Accept-Language: zh-cn
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
    Host: qz.qq.com
    Cache-Control: no-cache

    如果一切顺利,就会我们想要的页面。


    利用的方法:获取Cookie中的SKEY

    这个主要是利用XSS吧,参见:分享到QQ空间XSS可获取大量COOKIE 当然这个已经不起作用了,但是可以用这个作为一种思路。


    思路二:利用漏洞

    要想确保安全,QQ空间中各个模块都要对用户登录情况进行验证,但是可能因为程序员在写的时候,什么时候就忘了这一点,没有进行验证,导致用户信息泄露。

    参见:QQ空间可越权查看陌生人相册图片(高清)

    1. 默认没有权限访问陌生人的空间和相册

    2. 进入到自己的空间,在全部动态位置,如果有好友动态,点击一下,查看网络请求,其中有以下接口:
    http://ic2.s21.qzone.qq.com/cgi-bin/feeds/feeds2_html_hotspot?uin=***(自己的QQ,需要保持登录)&visiteduin=***(经测试,可以为陌生人QQ)&count=10&alpha=1&useutf8=1&g_tk=***
    3. 将2获取到的json解析,可以得到topicid和pickey

    4. 在QQ空间还是全部动态位置,如果有好友发布了图片,点击查看图片,监控到一个接口:
    http://app.photo.qq.com/cgi-bin/app/cgi_floatview_photo_list?g_tk=***&callback=viewer_Callback&t=202307701&topicId=***&picKey=***&shootTime=&cmtOrder=1&fupdate=1&cmtNum=10&likeNum=5&inCharset=utf-8&outCharset=utf-8&callbackFun=viewer&offset=0&number=20&uin=***&appid=4&isFirst=1&hostUin=***(为想查看的人的QQ)&showMode=1&prevNum=9&postNum=18&_=1388730579218"

    替换 ***内容为3获取到的,即能获取到相册图片列表。

    估计第2步的内容是由另一个模块生成的,在这一模块中已经进行了权限判断,没有权限的就不会生成出来。所以在4步中的URL就没有进行权限判断,从表面上看没有问题,但是当你自己构造一个特殊的请求的时候,就能够访问别的内容。


    --------------------------------------------------------------------------------
    感谢www.wooyun.org给我们提供一个虽然不是太平等,但是是免费的知识分享平台。

    信息安全很重要。




    展开全文
  • 失忆多线程设置QQ空间访问权限是一款通过cookies多线程来设置腾讯QQ空间访问问题设置软件,简单实用。
  • QQ空间相册爬虫

    万次阅读 多人点赞 2018-09-30 01:09:12
    QQ空间相册爬虫 目标: 不声不响的进入别人空间(直接进入内存消耗巨大,速度慢) 获取可以获取的所有的照片 获取.gif格式的照片(未实现) 获取视频(未实现,但可获取视频封面照片) 空间相册分析: 首先...

    QQ空间相册爬虫

    目标:

    1. 不声不响的进入别人空间(直接进入内存消耗巨大,速度慢)
    2. 获取可以获取的所有的照片
    3. 获取.gif格式的照片(未实现)
    4. 获取视频(未实现,但可获取视频封面照片)

    空间相册分析:
     

    • 首先,不可操作的相册显然不在我们考虑的范围
    • 对于可操作的相册我将其分为两个部分,是因为我操作‘你有权限进入的相册’时,我遇到了一些难题,与此同时,我也意识到自己的薄弱之处(我极其讨厌模拟请求形式的爬虫技术,话多了。。。。)
    • 由于对于可见相册两种情况难以控制,所以在对图片处理时采用了比较low的方法(截图),并未使用图像下载的方法

    流程图:

    Json分析:

    相册列表Json文件:

    照片Json文件:

    展开看看:

    不好意思,让你看到我恶心的动态了

    请求链接分析:

    相册列表链接:

    相册链接:

    注*:

    1. 没用的关键字,意思就是你写什么都行(TX的工程师= =。。。)
    2. 相册链接有两种,我就只用一种了哈~

    源码:

    #encoding:utf-8
    from selenium import webdriver
    from selenium.webdriver.common.by import By
    import time
    import re
    import json
    import importlib,sys
    importlib.reload(sys)
    import sys
    import os
    
    class Preprocessor:
        
        def Analysis_Json(self):
            jsonInfor.AnalysisJson().Analysis_Json()
            
        def startSpider(self):
            driver = webdriver.Chrome(executable_path='chromedriver.exe')
            driver.get('https://qzone.qq.com/')
     
            driver.switch_to.frame('login_frame')
            driver.find_element_by_id('switcher_plogin').click()
            User_QQnum = '******'#这里填写你的QQ号
            User_QQpas = '******'#这里填写你的QQ密码
            driver.find_element_by_id('u').clear()
            driver.find_element_by_id('u').send_keys(User_QQnum)  
            driver.find_element_by_id('p').clear()
            driver.find_element_by_id('p').send_keys(User_QQpas)  
     
            driver.find_element_by_id('login_button').click()
            time.sleep(2)
            pic_num = 0
            #---------------获得g_qzonetoken 和 gtk
          
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
     
            gtk=self.getGTK(cookie)#通过getGTK函数计算gtk
            print(g_qzonetoken)
            print(gtk)
            
            targetQQ = '******'#这里填写目标QQ
            
            photo_list = 
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
            driver.get(photo_list)
            html = driver.page_source
            f = open(r'photoList'+'.json','w+',encoding='utf-8')
    
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
            f.close()
    
            f = open('photoList.json', encoding='utf-8')
            text = f.read()
            f.close()
                        
            if text.startswith(u'\ufeff'): 
                
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
                        
                    photosUrl = 
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
                    driver.get(photosUrl)
                    html = driver.page_source
                    
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
    
                
        def getGTK(self,cookie):
           
            '''
                注意!!!!!!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                此块细节已影藏!!!!
                                --Vision_Tung
                                    2018年10月25日
    
            '''
    if __name__ == '__main__':
        processor = Preprocessor()
        processor.startSpider()
        print("OK")
    

    效果:

    展开全文
  • QQ空间密码和权限

    千次阅读 2020-06-17 16:42:37
    http://blog.rziqee.cn/index.php/article/34.html
    展开全文
  • QQ空间日志备份工具,可方便快捷的备份空间日志,并导出为网页、Word和文本格式。提醒:QQ空间权限要设置为任何人可以访问(如果有安全需要,可以在备份后再修改回原来的设置)
  • Post免登陆QQ空间查询好友空间访客
  • qq空间相册权限怎么设置-.docx
  • qq空间怎么设置访问权限.docx
  • QQ空间中访问权限设置方法.docx
  • Atitit 破解qq空间(2)-------探测权限

    千次阅读 2016-10-19 21:00:00
    Atitit 破解qq空间(2)-------探测权限   /AtiPlatf_cms/src/com/attilax/net/httpTest.java    package com.attilax.net;   import java.util.concurrent.Callable; import java.util.concurrent....

    Atitit 破解qq空间(2-------探测权限

     

    /AtiPlatf_cms/src/com/attilax/net/httpTest.java

     

     package com.attilax.net;

     

    import java.util.concurrent.Callable;

    import java.util.concurrent.TimeoutException;

     

    import org.apache.http.conn.ssl.SSLConnectionSocketFactory;

     

     

    import com.attilax.concur.TaskUtil;

    import com.attilax.io.filex;

    import com.attilax.io.pathx;

    import com.attilax.spider.Ffd;

     

    public class qzoneSpider {

     

    public static void main(String[] args) throws TimeoutException {

     

    // SSLConnectionSocketFactory

    String url = "http://user.qzone.qq.com/314087978";

      url = "http://user.qzone.qq.com/1466519819";

     

     

    Ffd ffd1 = new Ffd();

    ffd1.pathMaindir( pathx.prjParentPath_webrootMode());

    ffd1.get(url);

     

    String sou = ffd1.source();//.getPageSource();

    String title = ffd1.getTitle();

    filex.save(sou, "c:\\00souce\\log.txt");

    // Runnable

    Callable<Boolean> object = new Callable<Boolean>() {

     

    @Override

    public Boolean call() throws Exception {

    // TODO Auto-generated method stub

    return null;

    }

    };

     

    // Runnable

    Callable<Boolean> blockJude = () -> {

    String sou2 = ffd1.source();

    if (sou2.contains("QQ空间(Qzone)是中国最大的社交网络,是QQ用户的网上家园,是腾讯集团的核心平台之一")) {

    System.out.println("--slp");

    return true;

    }

    return false;

    };

     

    TaskUtil.block(blockJude);

     

    String sou2 = ffd1.source();

    filex.save(sou2, "c:\\00souce\\" + filex.getUUidName() + ".txt");

    if(sou2.contains("主人设置了权限,您可通过以下方式访问"))

    System.out.println("authed");

    else

    System.out.println("opened");

    String r = "";

    // new websitex().WebpageContent(url, "utf8", 10);

    // HttpUtil.sendGet(url);

    System.out.println(r);

    System.out.println(" ");

     

    }

     

    }

     

     

    作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 

    汉字名:艾提拉(艾龙)   EMAIL:1466519819@qq.com

    转载请注明来源: http://www.cnblogs.com/attilax/

     

    Atiend

     

    展开全文
  • qq空间里每条说说的访客查询接口

    千次阅读 2015-07-19 23:12:47
    上面的接口是QQ空间的访客记录。 如图,那每条说说的访问记录怎么查询呢 http://g.qzone.qq.com/cgi-bin/friendshow/cgi_get_visitor_single?uin=QQ号&appid=311&blogi
  • 愿意直接帮忙的加qq492344560 谢谢 如果可以给我点启发也行: 如果想干这个,要学什么东西?看什么书?
  • qq空间提权权限

    2012-12-11 15:57:13
    qq空间提权权限
  • 零视界QQ空间相册管家是一款用于QQ空间相片图片批量下载等管理软件,留住青春回忆。首发日期:2015.12.25支持一键获取空间相册支持一键获取他人空间相册(无权限)支持图片一键批
  • 小萧QQ空间日志小助手列表框中右击即可导入号码 导入号码格式务必设置为 QQ账号----QQ密码 , 否则无法导入 留言时,请确认欲留言号码的空间是否加密、有无访问权限 每个号码无码留
  • QQ空间API接口

    千次阅读 2013-05-24 15:38:00
    查看对方QQ空间的背景音乐 http://qzone-music.qq.com/fcg-bin/cgi_playlist_xml.fcg?json=0&uin=QQ号码 json=1 为使用json json=0 为XML -------------------------------------------------------...
  • 强行进入QQ空间

    千次阅读 2012-05-13 13:51:24
    大家都被对方的空间权限的限制而访问不了,而苦恼吧,现在教个方法给你们,把下面的这段代码复制粘贴到搜索栏中,再后面输入要访问对方的QQ号码即可: http://www.qqxoo.com/main.html?qqid=QQ号码 转载于:...
  • QQ空间日志备份导出工具,独家支持转载日志的处理,独家支持未审核通过日志的备份,独家支持QQ空间升级后的日志备份和导出,支持日志中图片(包括外链)下载到本地,并完美导出成本地网页文件。 详细介绍 相信...
  • 暴力破解QQ空间设置的问题

    万次阅读 2013-06-03 21:57:45
    免责声明: 该代码仅限用于学习和...http://user.qzone.qq.com/qq号,打开开发者工具,在命令行输入如下代码 var answers = [];//字典 var con = $e(Limit.container); var url = "http://" + baseDomain + "/cgi-bin/
  • 更支持QQ空间动态浏览访客采集(一般好友刷新空间的时候会留下痕迹在动态浏览里,类似于抓取竞争对手的好友,超强功能)请注意:同样是有权限才行,没有权限仍然采集不了 注意,软件目前支持采集最新访客,相册访客...
  • 黑番茄QQ空间访客采集用于QQ空间访客采集,可有效的采集访客,过滤重复访客。   黑番茄QQ空间访客采集功能介绍: 1.定时循环监控采集访客、过滤指定日期访客、过滤重复访客。 2.采集访客QQ类似于抓取竞争对手的...
  • (4)支持包括权限空间的QQ空间音乐查询、克隆。 (5)支持在线播放,信息复制,音乐下载等贴心功能。 (6)发现问题,将在第一时间内更新,保证用户使用。 零视界QQ空间音乐助理功能介绍 (1)支持两种查询模式,充分满足...
  • 此程序不包含破解功能,请确保登陆的QQ号有访问对方QQ空间和相册的权限 升级记录 v1.1版本 (2018-09-15) : 01. 修正因QQ空间升级导致xhr协议失效问题 v1.0版本 (2018-05-26) : 01. 从Java...
  • 很多粉丝告诉阿虚,他们也顺势想把自己QQ空间的照片备份一下 但是,你传到QQ空间里的照片就离谱了,腾讯现在根本就没有提供批量下载的途径!黄钻也不好使!! ????????‍♂️ 原来腾讯还有「QQ相册」这样一款产品,...
  • QQ空间代码克隆工具ASP极速版 可以快速查询任意QQ空间里面的模块 输入QQ号即可查询 程序使用ASP代码无数据库,应重多网友的要求特发出此代码,适合新手学习 程序为简单版本,一般无权限限制空间可复制。复制的...
  • QQ空间照片采集器.zip

    2020-05-05 03:46:15
    2:别人的相册你有权限查看的就能下载(比如别人设置了相册密码,你有密码也能下载) 软件功能 1:软件绿色无需安装 2:不写注册表。 3:支持自己的相册(加密和未加密的)批量下载 4:批量下载别人的加密相册...
  • 个人QQ空间、并附有源代码、在ASP access环境下运行即可。
  • - 提供丰富的空间权限设置和图片权限设置,为你提供安全,放心的社交环境。 - 提供大图,小图,无图等浏览模式,帮你用最省流量的方式刷空间。 - 可以设置特别关心好友的动态通知,让你时刻关注重要的人。 - 内置...
  • 实用标准 实用标准 文档 文档 QQ空间管理系统设计 学院 电子信息工程学院 班级信息管理于信息系统 成员 葛晓飞 石晓甜 侯建英 孙千惠 马莹莹 课程应用系统项目实践 第一章要求和目标 1.1 基本要求 1功能用户登录功能...
  • Python爬虫QQ空间好友说说

    千次阅读 2017-12-25 01:04:18
    Python爬虫QQ空间好友说说 先看效果:(轻微马赛克) 我的好友大概接近一百人,这里总共有3.5w+...爬虫技术不是黑客技术,访问好友的QQ空间需要获得权限 难点分析: 好友列表的获取 访问请求中...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 41,312
精华内容 16,524
关键字:

qq空间权限