送漏洞的網路釣魚

閑聊

正坐在北京公司提供給實習同學住的宿舍里，旁邊就是小蘑菇同學，然後給大家寫文章，找到房子前就先住這了。如你們所想，我安全到達北京了，北京還是老樣子，比成都稍微冷一點，跟成都一樣看不到太陽，空氣質量還是那麼差，房租還是那麼貴...一切都是老樣子，只是404有些小夥伴暫時叫不出名字，不過到這會已經認識了。

昨天晚上還在整理和打包東西，整理了一晚上，然後也沒上網，弄完洗個澡就睡著了，實在太累了，今天早早的出門坐了飛機過來。不整理不知道，整理下，好多書，好多東西，都不知道怎麼搬，然後按照小夥伴的提示，回頭把這些書名整理給大家。

周日去參加北化那的TEDxBUCT，去聽cos講身邊的黑客，哈哈。

一個簡單的釣魚

扯完這些來跟大家扯扯前兩天遇到的事情，一個網路釣魚。

可能有同學有看到我發的微博，我發了一張圖片。

說實在的，我真心喜歡這種發釣魚鏈接給我的，因為這意味著給我送一個漏洞，然後又讓我了解到一種釣魚方式，其實一個好的釣魚，就跟黑客思想一樣，各種猥瑣的思維和利用。不過對於這種釣魚，一般我了解完，直接提交漏洞，舉報釣魚URL（好像有點壞，不過這樣避免不懂的同學上當受騙）。

來分析下這個釣魚，其實這個網址一看就知道，雖然百度的網址，但是一看就能看出來，這是一個跳轉，利用了百度的URL跳轉漏洞，明顯是來送漏洞的嘛。。。實際網址就是後面那個網址，我們來分析下代碼，直接查看源碼：

這是一個簡單的跳轉，沒其他代碼了，提供meta的設置進行跳轉，然後我們繼續跟蹤，這次沒有跳轉了，是一個視頻聊天室網站，我們來看看把。

來看看真實的情況把

看完大家懂了把？其實這還是一個很簡單的釣魚，沒什麼可說的，主要的目的在於讓大家點擊然後會下載一個惡意軟體，然後接下來你就懂了。反正我就喜歡這種送漏洞的釣魚，哈哈，像那種很多QQ空間登陸的釣魚也是類似的，有的甚至網址都沒構造，壓根就是一個完全不知道什麼的網址。其實碰到這種情況，大家不凡查看下源碼來看看。

之前回答的一個釣魚鏈接的分析，有沒有一點擊鏈接載入網頁就被盜號的 QQ 賬號釣魚網站？

高級釣魚

這屬於簡單釣魚，這種比較常見，反正對我來說，因為自己是搞惡意網站搞了將近兩年，然後搞過引擎研發等，所以這些簡單的釣魚對於我來說一眼就看出來，不過有時候，高級釣魚就不是那麼容易識別的了。來看看以下這個釣魚，這個因為之前我們公司blog有發過了，我就不說了，直接複製黏貼過來了（原文地址[警惕]高級釣魚攻擊來了：拍拍XSS攻擊）

昨晚我們團隊捕獲到一起高級釣魚攻擊，緊急響應後，對背後的團隊技術運作能力表示欣賞：終於不是老套的、土得要死的方式。這次還真喚起我心中的那個魔鬼，有趣，這樣才有趣！:)

等黑產（非其他團隊）用這樣的方式已經等了很久很久，雖然還不夠高明，但已經有進步了！根據偉大的統計學，互聯網上鋪天蓋地的攻擊，能正巧被我們發現的概率不高，這次既然發現了，可以推出利用這一攻擊手法估計早幾個月已經在實施，而準備好這套計劃，估計時間上會更久。

開始進入重點：

在拍拍上和賣家交流後，賣家發來這條消息：

親，親反映的售後服務問題，我們給親退款58元作為優惠，親填寫下退款信息：http://mcs.paipai.com/RWsiZVpoe（真實的拍拍網址哦）

亮點1

被誘騙訪問上面這個鏈接後，會302跳轉到：

http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9

這裡面是一個存儲型XSS，這個XSS不錯在於，攻擊者通過修改自己QQ昵稱後，昵稱被拍拍讀取並沒適當的過濾就展示出來了，導致存儲型XSS。如下圖：

上面這個鏈接的代碼如下：

var msgContent = [false,false,1,false,2351926008: , ,0000000000,2012-11-11,04:58:35,店主回復,000,2012-11-11,04:59:33,false,2684118472:</script> , ,0000000000,2012-11-11,04:57:25,店主回復,00000,2012-11-11,04:59:25,];

showLeaveMsg(msgContent, 1);

注意紅色標註的位置。

亮點2

上面紅色標註的位置，那個js鏈接是短網址，這個手法已經司空見慣了，短網址利於迷惑，同時內容短，對於一些數據提交限制長度的功能來說，這是一個好方法。

亮點3

打開這個短網址，跳轉到了如下鏈接：

http://my.tuzihost.com/qq2.js

這個鏈接里會生成一個拍拍真的頁面，同時至少執行了如下腳本：

這個腳本很邪惡，就是專門盜取Cookie的。今年315後，認識Cookie的同學已經很多了，拍拍的Cookie比較脆弱，被盜取就意味著身份許可權被盜。

在qq2.js這個文件里，攻擊者明顯是做了足夠的研究，包括提取關鍵Cookie欄位，通過代碼里的痕迹與風格，估計可以推出是誰寫的:)

亮點4

qq2.js所在的http://my.tuzihost.com首頁做了偽裝，讓人以為是一個正規的導航站。

亮點5

http://my.tuzihost.com存在列目錄漏洞，通過這個我查看了攻擊者寫的其他代碼，可以看出用心了……

通過周邊的一些信息推斷：

• 攻擊者收集到的Cookie應該是存入了MySQL資料庫；
• 應該有個後台能顯示這些Cookie信息；
• 有郵件通知功能（也許還用作其他）；
• 攻擊者（或者說團隊更合適）不善於隱藏，也許他們分工真的明確，寫利用代碼的人不一定參與了攻擊，否則不太可能犯下一些明顯的錯誤；

結束

我們已經第一時間將這個攻擊反饋給騰訊安全中心，我發現他們已經修復了漏洞，效率真高。

這次攻擊實際上還不高級，不過非常有效，釣魚釣的不是密碼，而是關鍵Cookie，足矣秒殺拍拍了。我曾經科普過《關於社交網路里的高級釣魚攻擊》，大家可以查看微信的歷史消息，看看這篇文章。

這次攻擊在黑產中運用值得引起業界的警惕，實際上過去幾年，這樣的攻擊我遇見過幾起，不過沒證據表明是黑產在運用，基本都是：just for joke。

你，終於要來了？

防範

一般這些釣魚在利用過程中少不了js代碼的，掛馬也是，所以如果要進行防範，如果不怕麻煩，就安裝個Noscript或者類似插件，只給安全的js放行就可以了。

今天福利：

蘑菇弄的表情包，碼農：codefarmer.zip等

以及同樣還是蘑菇的吉他練習曲（他完全自學的，多才多藝，不過吉他才沒學多久）

webwxgetvoice (1).mp3_免費高速下載

----------------------------------

Fooying，關注安全與開發

歡迎關注微信公眾號:oxsafe

也可以加入0xsafe交流群 141278838進行交流

微博或者知乎搜索：fooying都可以找到我，微信搜索：oxsafe

感謝關注，如果覺得文章不錯就分享下

推薦閱讀：