例子：一個(gè)QQ空間的仿冒盜號(hào)網(wǎng)站的分析

知乎上有某位同學(xué)發(fā)了這樣一個(gè)盜號(hào)鏈接，做了簡(jiǎn)單的分析：

查看源碼：

然后把其中的js美化，部分代碼如下：（完整見作者知乎）

其中有個(gè)值：

aHR0cDovL2hvbWUuY2hkc2dsLmNvbS8yLnBocC8/ZD0=base64解碼后是http://home.chdsgl.com/2.php/?d=

簡(jiǎn)單解釋就是在當(dāng)前頁面嵌入了一個(gè)iframe，src是http://home.chdsgl.com/2.php/?d=1228

問題就出在這個(gè)鏈接。

然后里面又嵌入了一個(gè)頁面http://xmakx2al.tk/tool/q.asp?spmui=1228

然后又是一個(gè)頁面http://xmakx2al.tk/tool/c1/

里面又iframe個(gè)頁面，http://xmakx2al.tk/tool/c1/t4.html，這個(gè)其實(shí)是一個(gè)圖片背景的東西。

多層嵌套下來，其實(shí)最終就是一個(gè)假的騰訊教育的頁面，就是盜號(hào)用，這種方式很常見

例子：高級(jí)釣魚，利用拍拍網(wǎng)的XSS漏洞

原文地址：[警惕]高級(jí)釣魚攻擊來了：拍拍XSS攻擊

昨晚我們團(tuán)隊(duì)捕獲到一起高級(jí)釣魚攻擊，緊急響應(yīng)后，對(duì)背后的團(tuán)隊(duì)技術(shù)運(yùn)作能力表示欣賞：終于不是老套的、土得要死的方式。這次還真喚起我心中的那個(gè)魔鬼，有趣，這樣才有趣！:)

等黑產(chǎn)（非其他團(tuán)隊(duì)）用這樣的方式已經(jīng)等了很久很久，雖然還不夠高明，但已經(jīng)有進(jìn)步了！根據(jù)偉大的統(tǒng)計(jì)學(xué)，互聯(lián)網(wǎng)上鋪天蓋地的攻擊，能正巧被我們發(fā)現(xiàn)的概率不高，這次既然發(fā)現(xiàn)了，可以推出利用這一攻擊手法估計(jì)早幾個(gè)月已經(jīng)在實(shí)施，而準(zhǔn)備好這套計(jì)劃，估計(jì)時(shí)間上會(huì)更久。

開始進(jìn)入重點(diǎn)：

在拍拍上和賣家交流后，賣家發(fā)來這條消息：

親，親反映的售后服務(wù)問題，我們給親退款58元作為優(yōu)惠，親填寫下退款信息：http://mcs.paipai.com/RWsiZVpoe（真實(shí)的拍拍網(wǎng)址哦）

亮點(diǎn)1

被誘騙訪問上面這個(gè)鏈接后，會(huì)302跳轉(zhuǎn)到這個(gè)網(wǎng)址：

http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9

這里面是一個(gè)存儲(chǔ)型XSS，這個(gè)XSS不錯(cuò)在于，攻擊者通過修改自己QQ昵稱后，昵稱被拍拍讀取并沒適當(dāng)?shù)倪^濾就展示出來了，導(dǎo)致存儲(chǔ)型XSS。如下圖：

上面這個(gè)鏈接的代碼如下：

var msgContent = [false,false,1,false,2351926008: , ,0000000000,2012-11-11,04:58:35,店主回復(fù),000,2012-11-11,04:59:33,false,2684118472:</script> , ,0000000000,2012-11-11,04:57:25,店主回復(fù),00000,2012-11-11,04:59:25,];showLeaveMsg(msgContent, 1);

注意紅色標(biāo)注的位置。

亮點(diǎn)2

上面紅色標(biāo)注的位置，那個(gè)js鏈接是短網(wǎng)址，這個(gè)手法已經(jīng)司空見慣了，短網(wǎng)址利于迷惑，同時(shí)內(nèi)容短，對(duì)于一些數(shù)據(jù)提交限制長(zhǎng)度的功能來說，這是一個(gè)好方法。

亮點(diǎn)3

打開這個(gè)短網(wǎng)址，跳轉(zhuǎn)到了如下鏈接：

http://my.tuzihost.com/qq2.js

這個(gè)鏈接里會(huì)生成一個(gè)拍拍真的頁面，同時(shí)至少執(zhí)行了如下腳本：

這個(gè)腳本很邪惡，就是專門盜取Cookie的。今年315后，認(rèn)識(shí)Cookie的同學(xué)已經(jīng)很多了，拍拍的Cookie比較脆弱，被盜取就意味著身份權(quán)限被盜。

在qq2.js這個(gè)文件里，攻擊者明顯是做了足夠的研究，包括提取關(guān)鍵Cookie字段，通過代碼里的痕跡與風(fēng)格，估計(jì)可以推出是誰寫的:)

亮點(diǎn)4

qq2.js所在的http://my.tuzihost.com首頁做了偽裝，讓人以為是一個(gè)正規(guī)的導(dǎo)航站。

亮點(diǎn)5

http://my.tuzihost.com存在列目錄漏洞，通過這個(gè)我查看了攻擊者寫的其他代碼，可以看出用心了……

通過周邊的一些信息推斷：

攻擊者收集到的Cookie應(yīng)該是存入了MySQL數(shù)據(jù)庫；應(yīng)該有個(gè)后臺(tái)能顯示這些Cookie信息；有郵件通知功能（也許還用作其他）；攻擊者（或者說團(tuán)隊(duì)更合適）不善于隱藏，也許他們分工真的明確，寫利用代碼的人不一定參與了攻擊，否則不太可能犯下一些明顯的錯(cuò)誤；

我們已經(jīng)第一時(shí)間將這個(gè)攻擊反饋給騰訊安全中心，我發(fā)現(xiàn)他們已經(jīng)修復(fù)了漏洞，效率真高。

這次攻擊實(shí)際上還不高級(jí)，不過非常有效，釣魚釣的不是密碼，而是關(guān)鍵Cookie，足矣秒殺拍拍了。我曾經(jīng)科普過《關(guān)于社交網(wǎng)絡(luò)里的高級(jí)釣魚攻擊》，大家可以查看微信的歷史消息，看看這篇文章。

這次攻擊在黑產(chǎn)中運(yùn)用值得引起業(yè)界的警惕，實(shí)際上過去幾年，這樣的攻擊我遇見過幾起，不過沒證據(jù)表明是黑產(chǎn)在運(yùn)用，基本都是：just for joke。更多精彩教程請(qǐng)繼續(xù)關(guān)注腳本之家網(wǎng)站！

雷鋒網(wǎng)注：本文由作者授權(quán)發(fā)布雷鋒網(wǎng)，轉(zhuǎn)載請(qǐng)聯(lián)系我們授權(quán)并保留出處和作者，不得刪減內(nèi)容。

最新評(píng)論