专栏首页小白帽学习之路iphone被偷收到“骗子钓鱼短信”后对骗子网站渗透测试

iphone被偷收到“骗子钓鱼短信”后对骗子网站渗透测试

之前我也遇到过iphone被偷,因为18年的凌晨4点打了个“出租车”然后把手机导航给了司机,下车的时候找他拿给他跑了!然后我手机卡因为没有补办所以我不知道,我有没有收到这种信息。 大黄

上面这条信息是一个网友的,2020年过年期间有几个网友在火车站遇到手机给偷了,然后也收到这种信息,然后跑来私信我求助,而且过年期间上百个“”!

访问了这个页面,这个截图是过年期间的截图的,有部分后来补上的!页面非常逼真,跟真实的简直一样包括pc端,之前我也“遇到过几次这种钓鱼网站”但是都是比较简陋,大多数都有漏洞的,但是这个有点不一样所以,尝试一下测试。

登录的时候会验证我输入的“账号密码”是否为苹果的密码例如WINWIN.dd22这样子,如果到达不了这个安全性的密码,是会显示密码错误。

像图一图二,这样的登录系统,一般都是习惯测试SQL注入,但是这种是钓鱼网站,我输入的信息对方是一定会接收到的,所以习惯性的插入XSS载荷,这可能是最直接的方式。

输入payload的时候,这里前端做了一些限制,只能输入7位数好像,不过是前端限制的,直接在数据包里面替换就可以绕过了。

测试了xss的完整payload过去,发现是有收到xss生效的信息,但是对方网站是存在httponly,没收到有用cookie

一共两条,其中一条是返回,页面的html源代码,这是一个很关键的,我这里标记一下。

登录处也测试了几次,发现没有什么漏洞,用户返回可以self-xss,没什么作用,前端登录框架跟系统内部的,源代码大部分是不会暴露在,所以刚刚xss虽然没有cookie,但是返回了一条有用的html源代码

看到这里,他们对外面的安全性,还是可以的,一个php文件名字也设置的很复杂,有了这个系统内html源文件就方便很多了。

其中可以看到这里有个/password的目录跟请求参数,下这是一条创建新管理员的请求,我测试请求。

上图中做出一个,构造的请求包,这是按照系统给出的参数跟路径,做出的请求!但是这里显示“请先进行登录”没有越权之类的操作

但是这里可以与前面的xss,一起配合试试看组合一个xsrf,前提这个请求数据包是存在csrftoken的,这里地方我卡主了很久!因为csrftoken必须存在才能保证测试有效。

在这个步骤卡住了一段时间之前,后来想换其他方式测试,但是无意间在前台做出一条post的请求的时候,发现每次请求数据包里面会给我一条csrftoken,这条token我多次验证,最终得出一个结论就是,每次请求会给我一条全新的token,如果这条token我不去使用,它是一条有效的csrftoken,如果使用了就无效,这是一个突破点,这条接口帮助了我。

这样可以把我新生成出来的token放进去,管理员请求了,就会变成一条有效的操作请求

配合xss.js可以直接提交给管理员,然后管理员如果再次收到我的恶意payload就会自动创建一个新用户出来,但是我需要搭配一条非同源的访问记录链接,这样管理员访问到我的payload时我就会收到记录。

上面这里被请求到了,马上就有了记录,可以试试看“管理员”帮我们创建的账号

这家钓鱼网站,做得还是很不错的不过几张图是后面补充,所以没讲太明白,过程大概就这样,然后到了后面,他们把网站给关闭了,换了其它地址应该是,发现了我

查了一下域名相关的邮件跟姓名,其实这种网站你把它黑了,他们也不在乎,我查了一下它一个邮件就有70多个专门用来钓鱼的域名

所以这里提醒一下,手机被偷后收到这种短信大部分都是来钓你的id号

本文分享自微信公众号 - 程序员阿甘(gh_a2e36d69d566),作者:大黄winway

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 个人年度总结及AWD线下赛复盘

    还好有诸位贵人相助(辅导员们,上一届师兄们,学校各位老师以及实习单位师父), 小的也好有条努力的方向,但是时间紧任务重19年5月份就要比赛了,所以学的真的很粗略...

    7089bAt@PowerLi
  • Kali Linux Web渗透测试手册(第二版) - 5.3 - 利用XSS获取Cookie

    thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt,

    7089bAt@PowerLi
  • Web安全学习笔记(四):web通信基础之HTTP

    --------------------开始--------------------

    7089bAt@PowerLi
  • 大数据告诉你哪个城市最幸福,看看你的家乡在第几!

    近日,支付宝、知乎、墨迹天气、36氪、高德地图、阿里旅行—去啊、陌陌八个互联网品牌发布城市生活“蓝色幸福”程度报告。报告显示,在150个城市中,上 海、深圳、杭...

    CDA数据分析师
  • 多线程--同步与锁

    贾博岩
  • EventTrigger原理浅谈

    那么我们打开referencesource,搜索一下Triggers,发现居然有4种!!

    黄腾霄
  • 让 HTTP 服务人类的Requests库

    今天要谈的是requests库,这是一个功能强大的库,也是唯一的一个非转基因的 Python HTTP 库,人类可以安全享用。为什么这么说呢,还是因为它真的太强...

    编程思录
  • wget:重定向响应输出到stdout

    如何将输出的内容输出到stdout呢?这里就用到了-O选项,下面是从wget使用说明(man wget)中摘抄的关于-O选项的原文描述:

    用户1148648
  • Android图片加载库内存缓存策略分析

    Oceanlong
  • Mac下Idea导入Git项目

    赵哥窟

扫码关注云+社区

领取腾讯云代金券