魚站追蹤記，看互聯網友商如何互坑。

魚站追蹤記，看互聯網友商如何互坑。

來自專欄 i春秋技術社區

事情的起因很簡單，一哥們在春秋韓群發了個釣魚鏈接：

老毛病犯了忍不住點進去，這個釣魚用到了鳳凰網的一個XSS漏洞，而由於鳳凰網是騰訊白名單，所以該鏈接在發出時是綠標【騰訊被友商坑慘了】

由於該魚站對訪問者的UA和Refer做了檢測 所以找一個表哥要了他的iPhone X的UA

由於chrome在訪問帶有<script> 標籤的頁面會被攔截

因此換用360「安全」瀏覽器

首先安裝魔變插件，然後添加UA

Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E302 QQ/7.5.8.422 V1_IPH_SQ_7.5.8_1_APP_A Pixel/1125 Core/UIWebView Device/Apple(iPhone X) NetType/4G QBWebViewType/1

然後設置代理伺服器

然後開始抓包分析 看看到底在哪一步出現了釣魚網站

由於魚站用了鳳凰網的反射型XSS漏洞，因此第一個請求是鳳凰網的

群友發的鏈接是https://m.so.com/tjump?u=//pvp.qq.com%40url.cn/5NCxnuh&?_wv=3FiWJqlkhtY

經過url解碼是https://m.so.com/tjump?u=//pvp.qq.com@url.cn/5NCxnuh&?_wv=3FiWJqlkhtY

這裡需要講下URL中的@作用

對比下下面2個地址欄

@符號在URL中會將前面內容無效化（個人理解為注釋，比如圖一，前面的pvp.qq.com就被X掉了），因此圖一會訪問百度而不是王者農藥官網

因此，整個流程如下

最終魚站為：

fhuanxi.aa49b.cn/view.php

該頁面無法直接訪問，需要更改UA和加refer

又利用了hao123的跳轉漏洞：

跳到了美團的一個鏈接

s3.meituan.net/v1/mss_beb8568dae034a508fb2d11abbf9920e/zhaopin/social%2Ftemp%2Fc91aff92f99df7b726dee1fdcdbee986

該鏈接經過請求後會302到http://t.cn的短鏈接

http://t.cn/R1UYRSJ經過請求後會回傳一個JS文件

JS文件經過本地搭建測試為釣魚網站源碼【實際為HTML代碼經過URLencode後的】

網頁代碼經過解碼格式化後發現了點好玩的

首先是http://huanxi.aa49b.cn/template/js/pvp.js文件

這個文件對iPhone設備做過處理，防止用戶認出是釣魚網站並且對UA做了判斷，不是移動設備直接跳到pvp.qq.com/m

但是在安卓上就很敗筆

【安卓設備，SM-G9300】

【蘋果設備：iPhone X】

另外在蘋果設備上如果直接訪問美團的鏈接會出現下圖

【設備：iPhone 6】

這也解釋了為什麼魚站大費周折利用了N多跳轉漏洞來進行釣魚的原因

另外美團的頁面好像能載入外部JS

接著對HTML代碼分析，發現了抽獎JShttp://www.bzggbl.com.cn/template/js/page.js

以及一個未知的json.php

和登錄頁面的JS

http://huanxi.aa49b.cn/js/login.js

該頁面同樣為urlencode後的html，解碼後為真正釣QQ的頁面

釣魚網站的後台經過幾分鐘掃出來了

http://huanxi.aa49b.cn/admin__/login.php

小結下

本次跳轉鏈接涉及到的廠商均互為白名單

涉及到廠商及URL跳轉數量

hao123【現屬於百度】1個

360搜索1個

騰訊1個

美團1個

鳳凰網1個【鳳凰網全站均存在不同程度的URL跳轉漏洞並多次被利用，希望貴司安全部看到後能自查】

隨後動用某平台進行了威脅情報反查

域名對應IP：185.243.243.48

域名whios反查：

註冊者 韓琴 （相關域名 498 個）

郵箱 2070169918@qq.com （相關域名 499 個）

可視化：

魚站的滲透工作就是另談了，本篇不多做贅述。

截至2018年6月4日 11:20 魚站已暫停。。

2018年6月6日晚監測到美團的一個新的途徑：

非常推薦的回答：

黑客如何學起？?

www.zhihu.com你想了解的炫酷白帽黑客技能都在這！【i春秋】?

www.ichunqiu.com
推薦閱讀：