什么是恶意网站?详解2016最新的钓鱼、黑客入侵、木马病毒教程
我要评论例子:一个QQ空间的仿冒盗号网站的分析
知乎上有某位同学发了这样一个盗号链接,做了简单的分析:
查看源码:
然后把其中的js美化,部分代码如下:(完整见作者知乎)
其中有个值:
aHR0cDovL2hvbWUuY2hkc2dsLmNvbS8yLnBocC8/ZD0=base64解码后是http://home.chdsgl.com/2.php/?d=
简单解释就是在当前页面嵌入了一个iframe,src是http://home.chdsgl.com/2.php/?d=1228
问题就出在这个链接。
然后里面又嵌入了一个页面http://xmakx2al.tk/tool/q.asp?spmui=1228
然后又是一个页面http://xmakx2al.tk/tool/c1/
里面又iframe个页面,http://xmakx2al.tk/tool/c1/t4.html,这个其实是一个图片背景的东西。
多层嵌套下来,其实最终就是一个假的腾讯教育的页面,就是盗号用,这种方式很常见
例子:高级钓鱼,利用拍拍网的XSS漏洞
原文地址:[警惕]高级钓鱼攻击来了:拍拍XSS攻击
昨晚我们团队捕获到一起高级钓鱼攻击,紧急响应后,对背后的团队技术运作能力表示欣赏:终于不是老套的、土得要死的方式。这次还真唤起我心中的那个魔鬼,有趣,这样才有趣!:)
等黑产(非其他团队)用这样的方式已经等了很久很久,虽然还不够高明,但已经有进步了!根据伟大的统计学,互联网上铺天盖地的攻击,能正巧被我们发现的概率不高,这次既然发现了,可以推出利用这一攻击手法估计早几个月已经在实施,而准备好这套计划,估计时间上会更久。
开始进入重点:
在拍拍上和卖家交流后,卖家发来这条消息:
亲,亲反映的售后服务问题,我们给亲退款58元作为优惠,亲填写下退款信息:http://mcs.paipai.com/RWsiZVpoe(真实的拍拍网址哦)
亮点1
被诱骗访问上面这个链接后,会302跳转到这个网址:
http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9
这里面是一个存储型XSS,这个XSS不错在于,攻击者通过修改自己QQ昵称后,昵称被拍拍读取并没适当的过滤就展示出来了,导致存储型XSS。如下图:
上面这个链接的代码如下:
var msgContent = [false,false,1,false,2351926008: , ,0000000000,2012-11-11,04:58:35,店主回复,000,2012-11-11,04:59:33,false,2684118472:</script> , ,0000000000,2012-11-11,04:57:25,店主回复,00000,2012-11-11,04:59:25,];showLeaveMsg(msgContent, 1);
注意红色标注的位置。
亮点2
上面红色标注的位置,那个js链接是短网址,这个手法已经司空见惯了,短网址利于迷惑,同时内容短,对于一些数据提交限制长度的功能来说,这是一个好方法。
亮点3
打开这个短网址,跳转到了如下链接:
http://my.tuzihost.com/qq2.js
这个链接里会生成一个拍拍真的页面,同时至少执行了如下脚本:
这个脚本很邪恶,就是专门盗取Cookie的。今年315后,认识Cookie的同学已经很多了,拍拍的Cookie比较脆弱,被盗取就意味着身份权限被盗。
在qq2.js这个文件里,攻击者明显是做了足够的研究,包括提取关键Cookie字段,通过代码里的痕迹与风格,估计可以推出是谁写的:)
亮点4
qq2.js所在的http://my.tuzihost.com首页做了伪装,让人以为是一个正规的导航站。
亮点5
http://my.tuzihost.com存在列目录漏洞,通过这个我查看了攻击者写的其他代码,可以看出用心了……
通过周边的一些信息推断:
结束攻击者收集到的Cookie应该是存入了MySQL数据库;应该有个后台能显示这些Cookie信息;有邮件通知功能(也许还用作其他);攻击者(或者说团队更合适)不善于隐藏,也许他们分工真的明确,写利用代码的人不一定参与了攻击,否则不太可能犯下一些明显的错误;
我们已经第一时间将这个攻击反馈给腾讯安全中心,我发现他们已经修复了漏洞,效率真高。
这次攻击实际上还不高级,不过非常有效,钓鱼钓的不是密码,而是关键Cookie,足矣秒杀拍拍了。我曾经科普过《关于社交网络里的高级钓鱼攻击》,大家可以查看微信的历史消息,看看这篇文章。
这次攻击在黑产中运用值得引起业界的警惕,实际上过去几年,这样的攻击我遇见过几起,不过没证据表明是黑产在运用,基本都是:just for joke。更多精彩教程请继续关注脚本之家网站!
雷锋网注:本文由作者授权发布雷锋网,转载请联系我们授权并保留出处和作者,不得删减内容。
相关文章
win10怎样开启defender 开启windows defender扫描木马病毒的方法
使用win7和win8的用户的朋友都把系统升级成了win10,那么win10怎样开启defender呢?下面跟着脚本之家小编一起学习开启windows defender扫描木马病毒的方法,非常不错,具有2016-07-05- 要查杀病毒就要彻底查杀,那么要怎么样才能彻底查杀电脑病毒呢?下面由脚本之家小编给你做出详细的电脑病毒彻底查杀方法介绍!希望对你有帮助2016-04-30
- Win10怎么使用上帝模式清除Dynamer的木马病毒?现在有一款病毒在Win7/Win8.1/Win10系统肆意妄行,它就是名为Dynamer的木马病毒,它很难清除,需要调用上帝模式,下面我们来2016-04-30
- 病毒利用受感染的电脑主动感染其他连接的电脑,症状可能是档案损毁,当机,慢机,应用程式无法执行等等。有一些散播病毒者通过销售解毒工具敛财。接下来通过本文给大家介绍2016-04-12
- 电脑是怎么中病毒?如何防护电脑盗号的木马?很多朋友都碰到这类问题却不知道怎么解决,其实方法很简单的,下面小编就为大家详细介绍一下,来看看吧2016-03-24
- 这篇文章主要介绍了电脑病毒:电脑感染木马病毒查找和清除的方法的相关资料,需要的朋友可以参考下2015-09-25
- 带有ARP攻击行为的病毒,木马很是常见,主要有两种表现形式:频繁的出现地址冲突的现象以及 上网速度很慢甚至上不了网,这类问题如何解决呐?2015-09-22
- 本文全面讨论了Windows木马的方方面面:如何工作,有何特性,当然,也有针对性地提出了一些如何尽量减少木马危害的措施。2015-09-21
- 对于手机的顽固木马,大家都并不陌生,这种手机病毒,就类似于电脑中的顽固病毒,无论你如何查杀或者删除,重启后,这些病毒都会依然出现,导致手机出现各种异常,影响我们2015-04-21
- 网站被黑或者是被上传木马是比较常见的,也是用户比较关注的一个问题,下面给大家介绍网站中病毒或者有木马的处理方法,需要的朋友一起看看2017-12-11
最新评论