不要再乱点邮箱中收到的不明链接/不明文档啦！！

不要再乱点邮箱中收到的不明链接/不明文档啦！！

前言

这两天我QQ邮箱一直收到一封邮件。内容如图：

这是邮件内容：

一看这种邮件就知道是钓鱼邮件，接下来这封邮件进行分析。

1.分析附件

该邮件中只有一个附件文档，所以冒着风险把这个文档下载下来。打开后里面的内容还是吓到我了呢。。。哈哈哈哈

哎，我是小白，我不知道这是一封钓鱼邮件，我点链接进去看看。
于是它弹出了这个：

那我还是点击YES 打开这个链接吧。
到这儿了心里大概有个谱了，大胆的猜一下这就是让你打开这个链接然后登录账号，OK如果你登录了账号那你就中招了。

2.分析链接

通过上一个步骤，我们拿到了一个链接：https://w.url.cn/s/AaqZcOj
在网上查一下不难发现这是一个经过转换的短链接，不管他反正这个链接也没有用，最后还是会跳转至目标网址的。这个短链接的目的就是为了让你或者杀毒软件或者浏览器认为这个链接是安全的。
上述网址跳转的目标网址：http://zlkdyyecem0351.0351kf.cn/
这就是真正骗我们的钓鱼网站了
网站如图：

是不是觉得很眼熟？这家伙和QQ邮箱登录也太像了吧!他就是把QQ邮箱登录的页面源码复制过来瞒天过海，这招可骗不了我，一看网址就知道了。

3.分析运行逻辑

拿到钓鱼网址后，准备使用抓包工具进行抓包分析数据提交接口
于是乎打开了我的fiddler抓包利器。
通过对该网站的抓包，发现可以用链接为四个：




由：http://zlkdyyecem0351.0351kf.cn/
重定向到：http://zlkdyyecem0351.0351kf.cn/login.html
再由上述网址请求重定向到：http://zlkdyyecem0351.0351kf.cn/ajax.php
最后到了QQ邮箱的服务器。

为什么会到QQ邮箱服务器呢？稍等

通过这几个链接提交的web表单数据成功的找到了登录是提交请求的接口：
http://zlkdyyecem0351.0351kf.cn/ajax.php
使用post方式提交，参数名分别是u和p。如图：

天啦我刚刚输入的用户名密码居然就这么明文显示在这儿，这很危险！

于是乎继续分析网页源码，发现提交post请求，后端会返回一个json格式的字符串

继续分析，按照惯例这很有可能是使用ajax提交请求，于是乎在网页源代码中查找相关的代码段，然后你就会恍然大悟，原来如此：

如图所示对http://zlkdyyecem0351.0351kf.cn/login.html地址的网页源代码进行分析，发现存在一段异步提交的代码，提交接口正好是上述抓包的接口，通过该代码段可发现，首先获取参数值提交到ajax.php这个接口，同时对返回值进行判断，如果json返回值的Message==1 就重定向到QQ邮箱的登录界面。

4.最后的分析

根据前面所述，于是乎我大胆的猜测，它通过前台传值到后台，然后调用QQ邮箱登录接口，对QQ邮箱登录接口的返回值进行判断，如果返回值中包含登录成功那么就将前台传的账号密码存入数据库中或者文件中，它就成功的拿到了被攻击者的用户名和密码，否则就返回Message==1的信息给前台，前台收到该信息之后进行判断然后重定向到QQ邮箱的登录页（估计是为了掩人耳目才跳转到这个页面的）。

想想前台传的用户名和密码都是明文的，后台直接可以拿到密码，这套路简直了。
一般用户名收到这种类似的邮件都会很好奇的去点开，然后傻乎乎的点击链接登录，最后中招。这个始作俑者就是利用很多人的网络防范意识差，对网络一些基本信息不熟悉，最后导致中招。
对于这种邮件，一定要控制住自己的好奇心，好奇真的害死猫！！
不要随便点击右键中不明来路的邮件和链接，切记！！！