收到一个疑似盗取 QQ skey 的链接，请各位大佬能帮忙深入分析下。

这种问题问 GPT 会不会更好一点？

这个代码包含一些恶意行为，意在诱导用户点击链接并执行多个重定向，可能最终导致恶意软件的安装或窃取用户信息。以下是对该代码的详细分析：

### 源代码分析

```javascript
<script>
function FbQkvAAuUccjWjsZsV(FbQkvAAuUccjWjsZsV){document.write((unescape(FbQkvAAuUccjWjsZsV)));};
FbQkvAAuUccjWjsZsV("0D 0A 3C 21 44 4F 此处省略若干 0A 0D 0A".replace(/ /g,'%'));
</script>
```

这个脚本的作用是将一段被编码的字符串解码并写入页面。`unescape` 函数将 `FbQkvAAuUccjWjsZsV` 变量中的十六进制字符串转换为可读的文本，然后 `document.write` 将其写入页面。

### 解码后的 JavaScript 代码

```javascript
var ua = navigator.userAgent.toString();

var urlParams = new URLSearchParams(window.location.search);
var t = urlParams.get('t');

if(t) {
var ua = navigator.userAgent.toString();
if (ua.indexOf("QQ") !== -1) {
urls = decode(t);
document.getElementById("reportFrame").src = urls + '#?,WorldPro?9xx1?...' + generateRandomString(20);
} else {
window.parent.location.href = 'http://qq.com/404';
}
} else {
window.parent.location.href = 'http://qq.com/404';
}
```

### 具体分析

1. **User Agent 检测**:
```javascript
var ua = navigator.userAgent.toString();
```
这段代码获取用户代理字符串，用于检测访问者使用的浏览器或应用。

2. **URL 参数解析**:
```javascript
var urlParams = new URLSearchParams(window.location.search);
var t = urlParams.get('t');
```
从 URL 中获取参数 `t` 的值。

3. **条件判断和重定向**:
```javascript
if(t) {
if (ua.indexOf("QQ") !== -1) {
urls = decode(t);
document.getElementById("reportFrame").src = urls + '#?,WorldPro?9xx1?...' + generateRandomString(20);
} else {
window.parent.location.href = 'http://qq.com/404';
}
} else {
window.parent.location.href = 'http://qq.com/404';
}
```
- 如果 URL 参数 `t` 存在，并且用户代理字符串中包含 `"QQ"`，则调用 `decode` 函数对 `t` 进行解码，生成 URL ，并将其赋给一个 iframe 的 `src` 属性。
- 如果不满足条件，则重定向到 `http://qq.com/404`。

### 主要功能

- **用户代理检测**: 代码专门检查是否在 QQ 浏览器或 QQ 应用中运行，表明攻击者可能针对 QQ 用户进行钓鱼或恶意行为。
- **多重重定向**: 使用 `decode(t)` 解码参数 `t`，生成一个可能包含恶意链接的 URL 。这个 URL 通过 iframe 加载，可能执行进一步的重定向或载入恶意内容。
- **避免检测**: 如果不符合特定条件（例如不是在 QQ 中打开），则重定向到一个无害的 404 页面，避免引起怀疑。

### 建议

1. **避免点击可疑链接**: 不要点击或访问任何来历不明的链接。
2. **安全检查**: 在不确定链接安全性的情况下，可以使用安全工具或沙盒环境进行检查。
3. **提升安全意识**: 提高对网络钓鱼和恶意链接的警惕性，避免因好奇心或信任而造成安全风险。
4. **报告**: 如发现可疑链接，可向相关平台或安全部门报告，以便采取措施防范。

这个代码片段表明其目的可能是通过诱导点击，实施恶意重定向，获取用户敏感信息或进行其他恶意行为。务必谨慎处理此类情况，确保个人信息和设备的安全。

@winjeb 没重点，重点是如何盗取信息，攻击链条是什么样的. 你这个就是纯翻译代码

搞定了，就是钓鱼页面
最后会跳转到一个
http://w.mmf889q2z06.top
完整 URL： http://w.mmf889q2z06.top#?,WorldPro?9xx1?url=https://mp.weixinbridge.com/mp/wapredirect?url=http%253A%252F%252Fvk.vvzan.com#rdtype2=4&rdtype3=3002529&rdurl=http://ptlogin2.qq.com/jump?u1=http://grouproam.qq.com/cgi-bin/httpconn?htcmd=0x6ff0080&u=http://ptlogin2.fm.qq.com/jump?u1=http://ptlogin2.tenpay.com/jump?skey=@7bmBHm0XLp&u1=http://cf.qq.com/comm-htdocs/milo_mobile/login.html?s_url=http://lol.qq.com/comm-htdocs/milo_mobile/login.html?s_url=http://dnf.qq.com/comm-htdocs/milo_mobile/login.html?s_url=http://htdata2.qq.com:80/cgi-bin/httpconn?htcmd=0x6ff0080&u=http://grouproam.qq.com/cgi-bin/httpconn?htcmd=0x6ff0080&u=http://ptlogin2.fm.qq.com/jump?u1=http://ptlogin2.tenpay.com/jump?skey=@7bmBHm0XLp&u1=http://htdata2.qq.com:80/cgi-bin/http2KIZqt2CBCayOge4H23S

它搞这些大概率是为了骗过 QQ 内置浏览器的安全提醒，

然后也抓到包了，登录界面一眼假。。。

https://w.mmf889q2z06.top/qq/login
host: w.mmf889q2z06.top
content-length: 41
sec-ch-ua: "Chromium";v="124", "Google Chrome";v="124", "Not-A.Brand";v="99"
x-csrf-token: y7iPAqFKPs1DlRcsT3VyFknCyVTq9vYfB3NQcOoG
sec-ch-ua-mobile: ?0
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
content-type: application/x-www-form-urlencoded; charset=UTF-8
accept: */*
x-requested-with: XMLHttpRequest
sec-ch-ua-platform: "Windows"
origin: https://w.mmf889q2z06.top
sec-fetch-site: same-origin
sec-fetch-mode: cors
sec-fetch-dest: empty
referer: https://w.mmf889q2z06.top/qq/login?id=8
accept-encoding: gzip, deflate, br, zstd
accept-language: en,zh-CN;q=0.9,zh;q=0.8
cookie: laravel_session=eyJpdiI6ImRCWVwvWEJicUVKbkpLUTlDK25seFd3PT0iLCJ2YWx1ZSI6Im5INzBFNzVLVEk4eFRQZWw4bzFnbTZYWStyOTlvYks0K3Q2RERKYnN0XC92R0FsOUw1bk1FTmhCV1lFbEhIV3JOIiwibWFjIjoiZjQ1YTE2YjNiY2FmZjMxOTU5YjFkODMxZDUyYzFjNzczZDhmZDRkOTFmZmZlYzQ5NTE2ZGRmNjAyNzlhYWQ3YyJ9
priority: u=1, i

id=8&username=111112222&password=tt&area=

返回值
{
"code": 200,
"msg": "提交成功",
"data": "111112222"
}


下面是一段代码，大家有兴趣就写一个多线程 POST 刷爆对方把

curl -X POST 'https://w.mmf889q2z06.top/qq/login' -H 'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36' -H 'Accept-Encoding: gzip, deflate, br, zstd' -H 'sec-ch-ua: "Chromium";v="124", "Google Chrome";v="124", "Not-A.Brand";v="99"' -H 'x-csrf-token: y7iPAqFKPs1DlRcsT3VyFknCyVTq9vYfB3NQcOoG' -H 'sec-ch-ua-mobile: ?0' -H 'content-type: application/x-www-form-urlencoded; charset=UTF-8' -H 'x-requested-with: XMLHttpRequest' -H 'sec-ch-ua-platform: "Windows"' -H 'origin: https://w.mmf889q2z06.top' -H 'sec-fetch-site: same-origin' -H 'sec-fetch-mode: cors' -H 'sec-fetch-dest: empty' -H 'referer: https://w.mmf889q2z06.top/qq/login?id=8' -H 'accept-language: en,zh-CN;q=0.9,zh;q=0.8' -H 'priority: u=1, i' -H 'Cookie: laravel_session=eyJpdiI6ImRCWVwvWEJicUVKbkpLUTlDK25seFd3PT0iLCJ2YWx1ZSI6Im5INzBFNzVLVEk4eFRQZWw4bzFnbTZYWStyOTlvYks0K3Q2RERKYnN0XC92R0FsOUw1bk1FTmhCV1lFbEhIV3JOIiwibWFjIjoiZjQ1YTE2YjNiY2FmZjMxOTU5YjFkODMxZDUyYzFjNzczZDhmZDRkOTFmZmZlYzQ5NTE2ZGRmNjAyNzlhYWQ3YyJ9' --data-urlencode 'id=8' --data-urlencode 'username=111112222' --data-urlencode 'password=tt' --data-urlencode 'area='

@yuaotian #4
牛逼，搜了一圈还在想是不是在利用 QQ 内置浏览器的登陆验证漏洞，结果就是为了绕过拦截重定向到典型得不能再典型的钓鱼网页……

@MossFox 是啊，绕了一个好大的圈子，结果就这，白高兴了，还真以为是利用了 qq 某个网站漏洞搞 skey

@yuaotian 原来如此，搞这么复杂就是骗过 QQ 内置浏览器的安全提醒🤦‍♂️

@MossFox 平时手机只用内置的 safari 偶尔用 firefox ，手机地区切换到了台湾，早已经忘记国产浏览器拿手的安全拦截了。我还是觉得这个人没必要只限定 qq 类的浏览器。昨天用 safari 打开的时候直接跳转到了 qq 网站我还担心是不是有什么跨站攻击窃取啥的，（不太懂，见笑了，嘿嘿嘿。
另外翻了深蓝保的网站，没有任何登录注册的互动板块，好奇怎么传的文件。

skey 现在应该很难很难偷到了

@Livid 2 楼 GPT 无关回复

@drymonfidelia 不至于吧，人家一楼说了问下 GPT 。。。

@baleeny 说的都是废话，真正目的 GPT 没想到

@drymonfidelia 对，我知道，我说的意思是人家一楼说了下用 GPT 试一下 0.0 ，不是直接用 GPT 回复的哈哈哈，不过想了想你说的也没问题，是无关回复

@Kinnice #3 盲猜最后的原理还是伪造一个登陆界面，让你自己输入账号密码进去。应该没有通过技术手段获取你的权限得腾讯 0day 漏洞。
如果有，应该可以卖不少钱了。不至于用来做这么 low 的钓鱼

@miyuki #9 有这种能获取到 skey 的接口或者 0day 漏洞，可以卖不少钱了，不会这么轻易就拿出来钓鱼用

@novobo 是的，贼拉无语，果然最朴素的盗号就是钓鱼，哈哈哈哈哈