出大事情了
<i class="pstatus"> 本帖最后由 wmcot 于 2025-2-8 17:12 编辑 </i><br /><br />
大伙帮忙瞅瞅这种怎么实现的?是不是腾讯地图的图床?但是图床怎么png后缀打开确是跳转网页?有点技术含量啊。。。<br />
<br />
https://industry.map.qq.com/cloud/policy/fi1e/20230615/20230615_7ef52200f2de6_0.png<br />
<br />
手机网页打开他做了判断设备跳转的 只走移动端。<br />
<br />
自己的域名当然随便搞,关键这是腾讯的域名啊,无意在qq群看到的冒充抽奖的,有兴趣的可以发到qq聊天界面里面去看看。 <i class="pstatus"> 本帖最后由 whoareyou 于 2025-2-8 21:23 编辑 </i><br />
<br />
就是利用了某个接口没有过滤可以上传伪造的png,而且前台会把图片当做网页来解析(或者说这个.png的后缀就是为了伪造的)<br />
最终调用的是这个JS:<br /><div class="blockcode"><div id="code_IMg"><ol><li>2025qqbb.oss-cn-beijing.aliyuncs.com/ld.js</ol></div><em onclick="copycode($('code_IMg'));">复制代码</em></div><br />
<img id="aimg_ezZYa" onclick="zoom(this, this.src, 0, 0, 0)" class="zoom" src="https://zhuanjia.su.bcebos.com/v1/zhuanjia/b1739020440826671608.png" onmouseover="img_onmouseoverfunc(this)" onload="thumbImg(this)" border="0" alt="" /><br />
<img id="aimg_U34Y0" onclick="zoom(this, this.src, 0, 0, 0)" class="zoom" src="https://zhuanjia.su.bcebos.com/v1/zhuanjia/b1739020445682414022.png" onmouseover="img_onmouseoverfunc(this)" onload="thumbImg(this)" border="0" alt="" /><br />
<br />
最终到一个红包页面<div class="blockcode"><div id="code_aV6"><ol><li>http://2025qqbb.oss-cn-beijing.aliyuncs.com/q/index.html</ol></div><em onclick="copycode($('code_aV6'));">复制代码</em></div> 这个地址估计要被封了。地址主人要么骂街了。2023 年上传的,看来要到头了。 就跟图片伪装切片一样,服务器还支持 看文件头是html文件,content-type:text/html,不是图片哦,之前很多人把视频伪装图片上传也是这个原理,虽然是图片,实际是视频碎片...<br />
<i class="pstatus"> 本帖最后由 刘十九 于 2025-2-8 17:20 编辑 </i><br />
<br />
这标题起的:<a href="https://hostloc.com/home.php?mod=space&uid=175" target="_blank">@</a><br />
<br />
view-source:https://industry.map.qq.com/cloud/policy/fi1e/20230615/20230615_7ef52200f2de6_0.png 图片上传的html找到接口就行qqwx灰产全这么玩 ???这不404吗?<img src="https://hostloc.com/static/image/smiley/default/shocked.gif" smilieid="6" border="0" alt="" /><img src="https://hostloc.com/static/image/smiley/default/shocked.gif" smilieid="6" border="0" alt="" /> 404自动跳转 有没有技术老哥分析下啊百思不得其解。。