大家很热衷于这个的,特意把部分思路放了出来!如果做成软件,岂不是很火?
去年差不多这个时候有尝试过一回,成功了!但我还是稀里糊涂。
原文的帖子3楼 :落伍地址原文
目标地址:http://user.qzone.qq.com/450041145
破解出来的帖子:破解结果
图片现在还是能看的(Q防盗,直接在浏览器里输入图片地址)。应该没删除,只是改了相册的名称。(大家要是不信可以加她QQ问问是不是她)
(向像这位朋友道歉。不过还好,没露什么)
时间:用了6个小时
技术:JS基本文盲,函数基本靠猜
具体思路:通过JS缓存文件,然后再通过JS文件里的路径。跨目录访问。
就是先得到某个文件的缓存JS,然后直接访问加密相册路径!
只要能成功一次,只要缓存存在。就可以访问任何人加密的相册。
再提示:每个加密相册里图片下都又“删除”字样,说明那个漏洞的JS文件应该在判断QQ本人是否登陆状态哪里!!!!
PS:看到有人说是JS过滤漏洞,但我尝试使用ASP等脚本语言注入的思路(通过参数里添加特殊字符串),均不能成功!
现在腾讯QQ相册好像改了JS文件。不晓得还能不能通过这样的方式。先就贴到这里吧.无聊了研究研究.
转载请注明来源:混子的夜生活www.hunzi.org
本文地址:http://www.hunzi.org/crack-qq-album/
