预警QQ空间假红包"双十二，现金红包领取入口，数量有限，点击领取"

最近QQ空间经常看到这样的红包

点进去啥也没有，一段时间之后你的QQ空间会自动发送这条消息

链接为：http://p.imtt.qq.com/h?d=7&b=trade&type=site&id=4061&u=http://sc.qq.com/fx/u?r=ERhhDcA&from=share&bid=13276&pid=1226104-1438221658&_wv=1027&sid=favewofji&type=3&rnd=0.8738031948450953

个人估计是利用了QQ空间的XSS漏洞

1.通过http://bitly.co/的短网址还原如下：

真实网址为：

↓
http://sc.qq.com/fx/u?r=ERhhDcA
↓
http://allyes.sina.com.cn/main/c?db=sina&bid=,,&cid=,,&sid=1&u=//wxwx.evolives-cn.com/wx/blb1.php
↓
//wxwx.evolives-cn.com/wx/blb1.php

不过最后一个还原的好像不太对

2.通过http://www.aidmin.cn/restore.php还原的结果为

http://allyes.sina.com.cn//wxwx.evolives-cn.com/wx/blb1.php

3.通过http://longurl.org/解析http://sc.qq.com/fx/u?r=ERhhDcA的结果为

Title:
    404 Not Found
Short URL:
    http://sc.qq.com/fx/u?r=ERhhDcA
Redirects:
    2 (show details)
Long URL:
    http://allyes.sina.com.cn//wxwx.evolives-cn.com/wx/blb1.php

看来这个网址跟allyes.sina.com.cn有密切关系

先查到这，笔者以后再更

上面访问还没结束，可能是做了反爬虫处理

接着访问
wxwx.evolives-cn.com/wx/blb1.php
不带cookies的话没有302返回，这个应该是做了反爬虫

之后访问这个页面，跳出抽奖页面，也就是你能看到的抽奖
http://www.keetee.cn/wx/hbtz1.php?uid=7732728459236#wdmhxklq

这个网站的css和图片做了加速
http://stc.weimob.com
/css/template/reset.css?2014-10-22

http://img.weimob.com/static/81/bf/39/image/20151115/20151115002729_28910.jpg

http://img.users.51.la/18570128.asp

http://vipimg.51.la:82/go.asp?svid=13&id=18570128&style=9&vpage=http%3A%2F%2Fwww%2Ekeetee%2Ecn%2Fwx%2Fhbtz1%2Ephp%3Fuid%3D8173489548211&58702.98.gif


http://cnzz.mmstat.com/9.gif?abc=1&rnd=2108799454

点击抽奖圆盘
http://www.keetee.cn/wx/json_buzhong.js?_=1449217498607
Cookie: name=1; times=1; CNZZDATA1256884931=1818739839-1449216880-http%253A%252F%252Fwww.keetee.cn%252F%7C1449216880; CNZZDATA1256842479=216403923-1449216912-http%253A%252F%252Fwww.keetee.cn%252F%7C1449216912; CNZZDATA1256839315=1115714467-1449216524-http%253A%252F%252Fwww.keetee.cn%252F%7C1449216524
返回json

{"isHasChance":"true","rotate":0,"results":"很遗憾没抽到奖品!再来一次"}

根据查询到的大量域名指向www.keetee.cn，用站长工具查一下信息，可以查到的是这个网站注册时间并不长，可信度并不高，后面就不挖了，记住天上并不会掉馅饼的！