日常关心腾讯的Bug，混一下TSRC，最近邮箱中会经常有一些群邮件

标题都是什么辛苦搜集的吾爱软件，比如下图

获取QQskey

内容都是一些网站啊，美名曰什么突破百度云限速，不限速百度网盘等等，结果都没什么用，你下载了打开就会拿到你的QQskey

众所周知，在众多网站中需要登陆的网站都会返回一个字符串（Cookie）用来记录和识别用户的登录状态

而 QQ 空间、QQ 邮箱等也不例外，通常我们把这串代码称之为skey权限代码，也就是说如果可以获得一个 QQ 号码的skey代码，就相应的拿到了对方 QQ 登陆和管理权限

我还记得前段时间我的 QQ 空间莫名其妙去访问好多陌生人的空间，多次修改密码，冻结 QQ 无效，找TSRC的人反应，居然说不是安全问题，是产品漏洞，需要找空间的人员反馈

我就没管了，放任使用，这里就不吐槽一下TSRC了。先说一下怎么获取到这个神奇的skey，其实很简单，一段代码就可以获取到

打开有 QQ 登录状态的页面，比如 QQ 空间、QQ 邮箱

使用 360 浏览器的可直接在地址栏粘贴并访问以下代码

javascript:var a,r=new RegExp("skey=(@.{9})");if(a=document.cookie.match(r))alert(a[1]);

Chrome 的话，存为书签，打开有 QQ 登录状态的页面，点击一下也是可以的

会弹出一段以@开头的字符串，这就是所谓的skey

原理是获取当前页面中headers信息里的cookies中skey的值

注：仅供交流学习，请勿用于其他用途

分析

最近的群发群邮件的问题，都是由于木马网址中都是用热门软件进行传播，所以中招用户很多，一传十，十传百的

木马功能简单的来说就是拿到QQskey，有了QQskey就可以控制邮箱，再通过邮箱群发群邮件进行蠕虫传播

邮件内容通过线上网站获取，可以随时变换，防止备份，如果你中招了，那么除了盗了你的游戏账号以外，还会给你的群群发木马邮件，让你成为木马的传播者，这就是蠕虫

具体分析可查看吾爱破解公告原文

通过skey直接登陆 QQ 旗下网站，在 QQ 安全中心里我们是查不到登录记录的，所以很具有隐蔽性

一旦被坏人利用，对方就可以轻松获取你帐号下的所有权限，进而“为所欲为”

防范

平时不要相信陌生邮件，谨慎点击网站，检查访问域名是否为 QQ 旗下

给电脑安装一个安全软件是非常有必要的，比如 360，火绒等

经常修改密码，不重复使用同一密码、弱类型密码