敢釣我魚，就準備好被逮捕吧

圖片不少，流量黨慎入。算了，你已經點進來了

相關鏈接：

XSS攻擊是什麼，怎麼秒殺iphone釣魚站

偷了我的iphone，開路虎給我送回來

還是關於iphone釣魚的文章，這次不講技術，不講路虎，我們抓人可好？

收到這樣一個釣魚站，懷著特別激動的心情點進來。

這網站程序是基於ASP語言編寫的，並且，這款程序存在XSS漏洞

登錄框輸入三次賬號密碼就會提示跳轉到一個

http://www.xxxxxxappleid.cn/ask2.asp?WTXXR=16303255401118587657.html

為什麼這樣呢？兩個原因

1.釣魚者擔心你隨便輸入來試探真假。

2.釣魚者擔心你擼多了眼花輸錯密碼。

進來以後是這個樣子的：

XSS漏洞不在這個地方，我們按照程序規定的格式輸入一些假信息進入下一步

http://www.xxxxxxappleid.cn/ask3.asp?VIVKQL=977562307830245529.html

漏洞就是在這個點（上圖），當然，不是像我圖片一樣輸入XSS就造成攻擊了，具體請自己去了解XSS攻擊，這裡我們不講技術。過了一分鐘，釣魚者（網站管理員）的cookie就到碗里了

得到了cookie即可進入網站的後台，這裡使用中國菜刀進行cookie替換。

釣魚站的慣性就是存活周期及其短暫，通常一個IP綁定數十個甚至數百個域名。一段時間後就會更換域名。其實換湯不換藥，這些域名、伺服器、都是同一個人/團伙。

後台釣來的資料基本在1-2天內會刪除掉（應該是把資料轉移到了本地進行後續操作）

後台有一個特別人性化的功能

封鎖被害者的IP以後，就會讓你訪問時直接跳轉真正的蘋果官網。同時還有限制電腦/手機訪問等功能

開，始，日，天

首先保存一些我需要的資料，比如後台密碼，防止cookie失效

這種釣魚站默認賬號都是apple ，直接右鍵讀取源碼查看密碼。

接著是郵箱，同樣的方法得到郵箱密碼

登錄釣魚者的新浪郵箱，在郵箱中發現了支付寶的郵件。這真是意外之喜

猜測這個郵箱密碼和支付寶密碼是同一個

成功登錄上來了，好激動！可是沒有支付密碼，好氣哦！

不行，這麼多錢必須上交給國家。

繼續回到新浪郵箱中，發現了身份證正反面，恍恍惚惚呵呵哈哈，天助我也。不止這些，還發現了12306。

手抖的試了一下，12306和支付寶/新浪郵箱是同一個密碼。

翻了一下常用聯繫人

現在，有了釣魚者的手機號、住址、身份證正反面、郵箱賬號密碼等信息

再一次提醒大家，不要使用通用密碼。撞庫的可怕永遠都是這麼直接！

好了，我們把劇情拉回到支付寶，有了上面這些資料重置登陸密碼和支付密碼妥妥的。

四張信用卡，三張是別人名字，總共七張，真有錢，住在風景區

轉了五百塊錢試了一下

今晚上大保健有著落了！恍恍惚惚呵呵哈哈

沒高興兩分鐘，他似乎發現了異常。但是我修改了很多東西，還有他的身份證信息，現在就是維持許可權。他提交工單，我就幫他取消工單，棒棒噠，玩的不亦樂乎。他還申請了盜號補償，現在已到賬，真心快。

經過一夜激烈的鬥爭，他的支付寶依然在我手中，手機被解綁，郵箱被修改，身份證信息已保存。

當我第二天再去看釣魚網站後台的時候（這傢伙居然不改後台密碼），發現郵箱改了：

很明顯是騰訊企業郵箱，老方法讀取密碼。

成功登錄上來，這個郵箱還綁定了iphone

還，特，么，是，兩，台

進入iCloud

最後定位在北京市xx區xxxx

又到了激動人心的總結時刻了：

手法上的失誤：應該從銀行卡轉到餘額寶，再到轉支付寶，可以繞過某些簡訊驗證。

思想上的疑惑：一個人在支付寶可以綁定這麼多人信用卡，這行為是否合理？

在轉他支付寶時候我留了一個心眼，萬一這是個正常人，只不過是泄露了信息，郵箱被當做發件使用呢？

還有一個疑問，這人支付寶不存錢【上圖中支付寶的錢是我從他銀行卡中轉進去的】

錢都在銀行卡裡面，這個人也是一個市場銷售經理，但是卻有不同人的信用卡在支付寶綁定著，我不知道這人的顏色。請大家轉載起來，希望公安機關能夠看到，由公安機關來調查吧

來自SSS安全團隊的本文作者：噬魂表示，未打碼的信息無償提供。

完！
推薦閱讀：