请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 2215|回复: 18

[原创文章] 一个钓鱼网站引发的深度思考

[复制链接]
  • TA的每日心情
    慵懒
    2017-2-27 14:01
  • 签到天数: 40 天

    [LV.5]常住居民I

    发表于 2016-12-13 14:22:10 | 显示全部楼层 |阅读模式
    本帖最后由 zhoujian017 于 2016-12-13 15:31 编辑

    大家好我是噬魂,一个脚本小子。   
    今天这文章的主题核心就是若动我天堂,我必戳你脊梁“


    很久没有投过稿,上次那几篇就得没啥技术含量,就不敢献丑。
    今天今天借此发一篇文章,顺带做一做思路转换,希望各位看官喜欢!
    站是昨晚撸的,现在才组织文章。


    第一章:钓鱼链接

    上班无聊时候,朋友丢了一个苹果钓鱼网站,地址是:http://www.xxxxappleid.cn/ (已经打码)
    我们看看图网站:
    360截图20161213135311707.jpg


    这网站是asp网站,这个模板的钓鱼是存在xss漏洞,但是模板还有aspx php 的,还没发现怎么撸,那么xss位置在什么地方呢?

    登录框输入三次账号密码就会提示跳转到一个http://www.xxxxxxappleid.cn/ask2.asp?WTXXR=16303255401118587657.html
    360截图20161213135748163.jpg

    360截图20161213135926363.jpg


    厉害了 ,这钓鱼还真逼真,一般人不小心就会把你所有东西骗走。恰恰就是这个地方,存在xss
    http://www.xxxxxxappleid.cn/ask3.asp?VIVKQL=977562307830245529.html
    360截图20161213140117531.jpg


    360截图20161213140153759.jpg


    然后就静静等着鱼儿上钩,但是不到一分钟。。。。对,一分钟就上钩了,这哥们是多心急。。。
    360截图20161213140256373.jpg


    那就好,拿起中国菜刀,就是干!,修改cookies后直接杀入后台!
    360截图20161213140358424.jpg

    针对这种钓鱼网站我们简答做一个小小分析,

    360截图20161213150523403.jpg ..

    这里钓鱼还是很有效率,而且过一点时间就会删除,
    360截图20161213150721111.jpg

    一个IP有几十个域名绑定,而且后台还有个功能和因缺思厅。
    360截图20161213150816241.jpg
    360截图20161213150854289.jpg

    封锁你的IP,就会让你访问直接跳转正常苹果官网。还能限制手机或者浏览器也可以。




    第二章:戳脊梁第一步

    赶紧读取后台的账号密码:这种钓鱼站默认账号都是apple ,直接右键读取源码查看密码。

    360截图20161213142521849.jpg

    这时候我看到邮件设置:
    360截图20161213140603048.jpg

    看到有个邮箱,我们就尝试进去这个邮箱:一切就从这邮箱引发了血案。右键查看直接找到发件邮箱的账号密码 ,直接就杀进支付宝去。




    什么支付宝???没看错???拿是不是这个密码就是支付宝密码?
    360截图20161213140718470.jpg
    360截图20161213140847454.jpg

    PS:这里面的钱是我从他银行卡转进到支付宝的,还没来得及撸,你肯定会问我怎么转的?看官慢慢来往下看。

    我们知道重置支付宝需要身份证对吧,很荣幸,,哟邮箱里就给你准备好了
    360截图20161213141024745.jpg

    我们看到邮件还有12306,那是不是12306会有什么发现呢?

    360截图20161213141127270.jpg


    很幸运,12306也是用一个密码直接杀进去的。
    360截图20161213141300662.jpg

    我们看看常用的联系人:
    360截图20161213141344663.jpg




    第三章:戳断脊梁

    现在我们掌握这人的信息,手机,电话 ,住址,身份证照,我们可以干嘛呢?


    修改支付宝信息!!我们看看需要什么材料就可以修改呢?
    360截图20161213141513988.jpg +

    同理,在修改手机用户的绑定,,,,,然后你们就都懂了,。。。

    360截图20161213141611192.jpg

    四张信用卡,三张是别人名字,总共七张,哥哥还是真有钱,住在风景区
    360截图20161213142017215.jpg

    然后我就,,,
    360截图20161213142114071.jpg


    由于他可能发现了,现在支付宝异常,但是我修改了很多东西,还有他的身份证信息,现在就是维持权限。
    他提交工单,我就帮她取消工单,好好玩。他还申请了盗号补偿。现在已到账,真心快。
    360截图20161213143815874.jpg



    第四章:后续
    经过一晚上的斗争,他的支付宝现在还在我手中沦陷,手机被解绑,邮箱被我修改,身份证信息在我手里。
    当我第二天再去看时候,发现邮箱改了:
    360截图20161213143058194.jpg

    感谢群友gscld 提醒这是腾讯邮箱:邮件读取源码,找到密码:
    360截图20161213143158475.jpg
    360截图20161213143449448.jpg


    没错 这个邮箱还绑定了IPHONE,我们上iCloud去看看:真羡慕你们这群有钱人 ,都能用苹果,TM还是两台
    360截图20161213143508010.jpg

    360截图20161213143246163.jpg
    那我们可以选择做什么呢?


    总结:现在钓鱼种类繁多,针对个人很容易就中招,针对本次的渗透有两个问题:
    1:这些用来当发送邮箱的真是黑产的人的吗?
    按照一个密码思路我们还可以走很长,但是觉得这样是不是太简单了,完全可以冒充一个人做很多事。我开始怀疑是不是黑产牛用了某个受害者邮箱在当发件箱。
    从一个发件邮箱到支付宝,看出很多问题,支付宝主人在北京,我再南方亚海,差异这么大,但是支付宝很给力,能洗护一点点,但是由于思路不够准,后面他的挂失了。友情提醒,下次重置后,选择从银行卡转到余额宝,再到转支付宝,可以绕过某些短信验证。

    2:一个人在支付宝可以绑定这么多人信用卡,这行为是否合理?在转他支付宝时候我还是多了心眼,万一这是个正常人,只不过是泄露了信息,邮箱被当做发件使用,这时我开始审视,这人会不会是黑产中的某一个人,是否他也是某一个无辜受害者,但是打开支付宝之后又多了一疑问,这人支付宝不存钱,钱都在银行卡里面,这个人也是一个市场销售经理,但是却有不同人信用卡在支付宝绑定着,我不知道这人的颜色,是黑或亦是白,但是我们不能黑白颠倒,与钓鱼网站的斗争,永远只有白,黑暗一定会被光明打败。



    针对最近层出不穷的泄密,提醒各位,赶紧修改密码!!!

    By 噬魂
    2016.12.13




    截止2016年12月13日15:24分我已经失去了支付宝绝对控制权





    回复

    使用道具 举报

  • TA的每日心情
    无聊
    前天 14:39
  • 签到天数: 221 天

    [LV.7]常住居民III

    发表于 2016-12-13 21:42:44 | 显示全部楼层
    你根本不是司机
  • TA的每日心情
    无聊
    2016-12-19 21:31
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2016-12-13 22:00:04 | 显示全部楼层
    听着爱的歌就上了你的车
  • TA的每日心情
    慵懒
    2017-2-27 14:01
  • 签到天数: 40 天

    [LV.5]常住居民I

     楼主| 发表于 2016-12-14 00:10:22 | 显示全部楼层
    h3hz 发表于 2016-12-13 21:42
    你根本不是司机

    正宗老司机
  • TA的每日心情
    慵懒
    2017-2-27 14:01
  • 签到天数: 40 天

    [LV.5]常住居民I

     楼主| 发表于 2016-12-14 00:10:48 | 显示全部楼层
    v643692586 发表于 2016-12-13 22:00
    听着爱的歌就上了你的车

    喝最烈的酒 日最野的狗
  • TA的每日心情
    无聊
    昨天 16:30
  • 签到天数: 244 天

    [LV.8]以坛为家I

    发表于 2016-12-14 09:52:22 | 显示全部楼层
    6666,模拜大牛
  • TA的每日心情
    奋斗
    2016-7-14 17:48
  • 签到天数: 7 天

    [LV.3]偶尔看看II

    发表于 2016-12-14 10:35:59 | 显示全部楼层
    滴,学生卡
    回复

    使用道具 举报

  • TA的每日心情
    开心
    前天 18:03
  • 签到天数: 43 天

    [LV.5]常住居民I

    发表于 2016-12-14 20:47:45 | 显示全部楼层
    对XSS一直没有明白,没搞懂,,,这是关键
  • TA的每日心情
    擦汗
    5 天前
  • 签到天数: 117 天

    [LV.6]常住居民II

    发表于 2016-12-15 00:17:18 | 显示全部楼层
    厉害了我的哥      
  • TA的每日心情

    2017-2-9 19:05
  • 签到天数: 27 天

    [LV.4]偶尔看看III

    发表于 2016-12-16 19:52:58 | 显示全部楼层
    听着爱的歌就上了你的车
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-3-29 05:32 , Processed in 0.239164 second(s), 39 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表