iphone被偷收到“骗子钓鱼短信”后黑掉骗子网站 – 作者:rosectow

 640?wx_fmt.png 

上面这条信息是一个网友的,2020年过年期间有几个网友在火车站遇到手机给偷了,然后也收到这种信息,然后跑来私信我求助,而且过年期间上百个“赌徒”输了钱找我帮他们意淫一些奇葩想法!

访问了这个页面,这个截图是过年期间的截图的,有部分后来补上的!页面非常逼真,跟真实的简直一样包括pc端,之前我也“遇到过几次这种钓鱼网站”但是都是比较简陋,大多数都有漏洞的,但是这个有点不一样所以,尝试一下测试。

登录的时候会验证我输入的“账号密码”是否为苹果的密码例如WINWIN.dd22这样子,如果到达不了这个安全性的密码,是会显示密码错误。

640?wx_fmt.png

640?wx_fmt.jpeg

 像图一图二,这样的登录系统,一般都是习惯测试SQL注入,但是这种是钓鱼网站,我输入的信息对方是一定会接收到的,所以习惯性的插入XSS载荷,这可能是最直接的方式。

输入payload的时候,这里前端做了一些限制,只能输入7位数好像,不过是前端限制的,直接在数据包里面替换就可以绕过了。

640?wx_fmt.png

测试了xss的完整payload过去,发现是有收到xss生效的信息,但是对方网站是存在httponly,没收到有用cookie

640?wx_fmt.png

一共两条,其中一条是返回,页面的html源代码,这是一个很关键的,我这里标记一下。

 

640?wx_fmt.png

登录处也测试了几次,发现没有什么漏洞,用户返回可以self-xss,没什么作用,前端登录框架跟系统内部的,源代码大部分是不会暴露在,所以刚刚xss虽然没有cookie,但是返回了一条有用的html源代码

640?wx_fmt.png

看到这里,他们对外面的安全性,还是可以的,一个php文件名字也设置的很复杂,有了这个系统内html源文件就方便很多了。

640?wx_fmt.png

其中可以看到这里有个/password的目录跟请求参数,下这是一条创建新管理员的请求,我测试请求。

640?wx_fmt.png

上图中做出一个,构造的请求包,这是按照系统给出的参数跟路径,做出的请求!但是这里显示“请先进行登录”没有越权之类的操作

但是这里可以与前面的xss,一起配合试试看组合一个xsrf,前提这个请求数据包是存在csrftoken的,这里地方我卡主了很久!因为csrftoken必须存在才能保证测试有效。

在这个步骤卡住了一段时间之前,后来想换其他方式测试,但是无意间在前台做出一条post的请求的时候,发现每次请求数据包里面会给我一条csrftoken,这条token我多次验证,最终得出一个结论就是,每次请求会给我一条全新的token,如果这条token我不去使用,它是一条有效的csrftoken,如果使用了就无效,这是一个突破点,这条接口帮助了我。

640?wx_fmt.png

这样可以把我新生成出来的token放进去,管理员请求了,就会变成一条有效的操作请求

配合xss.js可以直接提交给管理员,然后管理员如果再次收到我的恶意payload就会自动创建一个新用户出来,但是我需要搭配一条非同源的访问记录链接,这样管理员访问到我的payload时我就会收到记录。

640?wx_fmt.jpeg

上面这里被请求到了,马上就有了记录,可以试试看“管理员”帮我们创建的账号

640?wx_fmt.png

这家钓鱼网站,做得还是很不错的不过几张图是后面补充,所以没讲太明白,过程大概就这样,然后到了后面,他们把网站给关闭了,换了其它地址应该是,发现了我

640?wx_fmt.png

查了一下域名相关的邮件跟姓名,其实这种网站你把它黑了,他们也不在乎,我查了一下它一个邮件就有70多个专门用来钓鱼的域名

所以这里提醒一下,手机被偷后收到这种短信大部分都是来钓你的id号


首发“微信公众号(快识)”,关注公众号:快识,发送01,领取1000G学习教程以及学习规划路线

来源:freebuf.com 2020-03-24 17:01:36 by: rosectow

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论