魚站追蹤記,看互聯網友商如何互坑。
07-05
魚站追蹤記,看互聯網友商如何互坑。
由於該魚站對訪問者的UA和Refer做了檢測 所以找一個表哥要了他的iPhone X的UA由於chrome在訪問帶有
這個文件對iPhone設備做過處理,防止用戶認出是釣魚網站並且對UA做了判斷,不是移動設備直接跳到
以及一個未知的json.php和登錄頁面的JS
推薦閱讀:
來自專欄 i春秋技術社區
事情的起因很簡單,一哥們在春秋韓群發了個釣魚鏈接:
老毛病犯了忍不住點進去,這個釣魚用到了鳳凰網的一個XSS漏洞,而由於鳳凰網是騰訊白名單,所以該鏈接在發出時是綠標【騰訊被友商坑慘了】<script>
標籤的頁面會被攔截因此換用360「安全」瀏覽器
首先安裝魔變插件,然後添加UA
Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E302 QQ/7.5.8.422 V1_IPH_SQ_7.5.8_1_APP_A Pixel/1125 Core/UIWebView Device/Apple(iPhone X) NetType/4G QBWebViewType/1
然後設置代理伺服器然後開始抓包分析 看看到底在哪一步出現了釣魚網站由於魚站用了鳳凰網的反射型XSS漏洞,因此第一個請求是鳳凰網的群友發的鏈接是https://m.so.com/tjump?u=//pvp.qq.com%40url.cn/5NCxnuh&?_wv=3FiWJqlkhtY
經過url解碼是https://m.so.com/tjump?u=//pvp.qq.com@url.cn/5NCxnuh&?_wv=3FiWJqlkhtY
pvp.qq.com
就被X掉了),因此圖一會訪問百度而不是王者農藥官網因此,整個流程如下
最終魚站為:
fhuanxi.aa49b.cn/view.php
該頁面無法直接訪問,需要更改UA和加refer又利用了hao123
的跳轉漏洞:跳到了美團
的一個鏈接
s3.meituan.net/v1/mss_beb8568dae034a508fb2d11abbf9920e/zhaopin/social%2Ftemp%2Fc91aff92f99df7b726dee1fdcdbee986
http://t.cn/R1UYRSJ
經過請求後會回傳一個JS文件JS文件經過本地搭建測試為釣魚網站源碼【實際為HTML代碼經過URLencode後的】網頁代碼經過解碼格式化後發現了點好玩的首先是http://huanxi.aa49b.cn/template/js/pvp.js
文件
pvp.qq.com/m
但是在安卓上就很敗筆【安卓設備,SM-G9300】【蘋果設備:iPhone X】
另外在蘋果設備上如果直接訪問美團的鏈接會出現下圖
【設備:iPhone 6】這也解釋了為什麼魚站大費周折利用了N多跳轉漏洞來進行釣魚的原因另外美團的頁面好像能載入外部JS接著對HTML代碼分析,發現了抽獎JShttp://www.bzggbl.com.cn/template/js/page.js
http://huanxi.aa49b.cn/js/login.js
該頁面同樣為urlencode後的html,解碼後為真正釣QQ的頁面
釣魚網站的後台經過幾分鐘掃出來了http://huanxi.aa49b.cn/admin__/login.php
小結下本次跳轉鏈接涉及到的廠商均互為白名單涉及到廠商及URL跳轉數量hao123【現屬於百度】1個360搜索1個騰訊1個美團1個鳳凰網1個【鳳凰網全站均存在不同程度的URL跳轉漏洞並多次被利用,希望貴司安全部看到後能自查】隨後動用某平台進行了威脅情報反查域名對應IP:185.243.243.48
域名whios反查:註冊者 韓琴 (相關域名 498 個)郵箱 2070169918@qq.com (相關域名 499 個)可視化:魚站的滲透工作就是另談了,本篇不多做贅述。截至2018年6月4日 11:20 魚站已暫停。。
2018年6月6日晚監測到美團的一個新的途徑:
非常推薦的回答:
黑客如何學起?你想了解的炫酷白帽黑客技能都在這!【i春秋】推薦閱讀: