专栏首页山丘安全攻防实验室看我如何利用社会工程学+XSS组合拳击碎骗子的心肝脏脾!

看我如何利用社会工程学+XSS组合拳击碎骗子的心肝脏脾!

文章说明:

文章敏感信息已打码 文章仅供娱乐,请勿模仿,一切模仿导致的后果与公众号无关 文章首发地址:山丘安全攻防实验室 文章原创作者:陈殷,欢迎转载,转载请注明出处~ 记得看完加关注哦,定期更新干货~

1

一份消失的订单

当时我还在公司那边正准备着PPT

手机一阵震动

一个妹子(后面简称:J)发消息告诉我她被骗了

大概情况就是

J在小红书加了一个所谓的微商

买了一双鞋,付了500之后被微商删了。

(来自J和我的对话截图)

因为身在安全圈

经常有被bc骗钱的、刷z被骗钱的人找我帮忙

所以对这些事件比较熟悉

立案本身就有些复杂

况且这种情况相关部门80%都是追不回来

所以打算自己搞一波

不过当时有些忙

便把这件事扔在了脑后

2

挖不到洞的愤怒

当天晚上,我在测一家厂商的逻辑漏洞

然而

我完美的展示了什么叫做菜的抠脚

一个漏洞还没挖到……

(J的姐姐不小心和他妈说漏了嘴,J在被她妈怒骂ing)

QQ提示音再次响起

我意识到上次答应别人的东西还没做

于是我关掉burp

打开百度脑图开始绘制这次行动方案……

3

第一波信息搜集

前文有提到小红书,我让J给我推了微信号

因为他之前的微信被封了

所以我加了她的男朋友的微信(据我判断是一个人)

我加的时候验证消息是“小红书看见的,我要买东西~”

顺着他的职业

我打着买洗面奶的名义开始了聊天

到这里,已经成功加了好友

并且建立了革命友谊

为下面的深入做好了关键一步

4

第二波信息搜集

这里我利用了一个微信的内置功能

转账功能可以查看姓名最后一个字

然后翻了一下他的朋友圈

发现了一个有趣的东西

这条发表时间是在去年八月

我还是抱着试试的心态记录下来了

我们拿到的信息仅有

姓名最后一位+手机号

5

利用已知信息进行社会工程学攻击

我首先在本地做了一个XSS 页面

其中XSS payloads也很简单

本来打算插入一段获取经纬度的JavaScript代码

但是那样会触发一些提醒

比如要求获取位置信息

可能会导致攻击失败

所以打消了这个念头

为了对方完全打开页面且出发xss payloads

我加了1行代码:

<script>alert('xx啸照片正在加载,点击确认进行查看……')</script>

为了后面url的诱惑性,我把文件命名为:photo.php

然后将页面放入我的服务器

url为:http://xxx.com/photo.php

然后将其发送给骗子

6

山雨欲来风满楼

这波操作是最有难度的

一方面要保证他会点开

一方面要伪装自己的身份

一方面还要有文字功底,直击对方恐惧的地方

说实话当时我也没底

刚发过去一分钟不到

邮箱提醒鱼儿上线了

打开xss平台查看数据

现在我们又拿到了他的user agent和ip地址

很多朋友可能会说会不会ua是伪造的

其实我们简单想一下

随便点开url的人

安全意识肯定不高

那么必定是个技术盲吧~

所以大胆的记录下这项信息吧~

7

技术实操

这里就开始考验运用自己所会的知识

进行打击

这里我先用了一个ip查询接口(暂不外放)

将其地址锁定到某条街某个门牌号

接着我将这个地址的gps图发了过去

并对其中的页面属性做了变更

将自己伪装成了广东的网警

然后接下来有些紧张

所以逻辑稍有不清晰

一连发了很多句

转账截图是J发给我的

我伪造了一个J报警的假象

应该是有点慌了

过了25分钟这个人才回复我

哈哈,这个我发的就有点扯淡了~

很多法律条文都是我自己创造的

他要看证件照

我便联系了一个网安朋友

说明情况

经过允许后发了证件照

8

安排

在我发含有xss payload url时

我让J给这个人发了几句话

大概就是说

退钱就撤销报警

然后J照做:

这个骗子看似很淡定

其实心里慌得一批

这边要收款码而不是直接转账

可以猜测他是找别人去借了

然后陆续

既然钱已经退了

我也就可以收尾了

然后收获了一个迷妹和迷妹妈的称赞

9

花落无声

追款有很多工作没有做好

导致有那么一会儿手忙脚乱

所幸的是

追款成功

我也松了一口气,吹了一下键盘上的灰,端起奶茶喝了一口

打开网易云

听着窗外雨声

又打开了BurpSuite……

怎么说呢

我一直就想

不要让技术蒙上灰

追款这种事

我曾经免费帮同学、邻居、朋友以及网友做过

也因此收获了不少肥宅快乐水

当然,我自己很菜

写这篇文章纯做记录

以及提供另类追款方式

大佬勿喷~

有其他疑惑欢迎留言交流讨论~

本文分享自微信公众号 - 山丘安全攻防实验室(hillsec),作者:陈殷

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • SQLMAP从入门到精通——第一节

    Sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指...

    陈殷
  • 我在赏金计划中发现的RACE条件漏洞

    【译者序:这是一个竞争条件漏洞的示例 By Wenliang Du at Syracuse University】

    陈殷
  • 一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

    OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的W...

    陈殷
  • 干货 | 携程无线APM升级实践

    辛贵,携程无线研发总监。主要负责App基础框架研发相关工作,关注App开发框架、性能、质量、效率和新技术。

    携程技术
  • 刚刚,英伟达发布全球最强AI训练器HGX-2,可替换300个CPU服务器

    大数据文摘
  • 【腾讯云的1001种玩法】Laravel 整合 COS 对象存储服务,享受无限容量存储服务

    使用Laravel 也可以轻松接入腾讯云对象存储,只需要执行简单的几行命令,就可以轻松在你的Laravel项目中,享受COS提供的海量数据存储能力。

    白宦成
  • Python告诉你:为何年终奖多发一元,到手却少两千多?

    年终奖多发一元,到手却要少两千多,甚至更多。听到这个消息的时候,大家是不是觉得有点意外,意外之余还有点淡淡的忧伤?

    AI科技大本营
  • 轻松入门腾讯云存储:对象存储COS的基本功能详解

    腾讯云是全球领先的云计算服务商之一,将腾讯集团在QQ、微信、QQ空间等业务中积累的海量互联网服务能力,开放给各行各业,并不断输出计算机视觉、智能语音、大数据分析...

    勤劳的小蜜蜂
  • 浏览器后退不刷新页面的解决办法

    在开发微信的H5页面的时候,发现ISO的微信内置浏览器后退不刷新了,然而业务实现需要刷新。

    山河木马
  • [独家] 三星电子欲借机器人摆脱在手机市场的颓势

    目标:五年内,三星的所有产品,包括机器人,都能进行联网,并接入物联网。 ◆ 这可能会很有趣 三星终于创建了该公司史上第一个机器人实验室! 三星电子(不是那个...

    机器人网

扫码关注云+社区

领取腾讯云代金券