钓鱼除了鱼竿,还有QQ

nana 2016-10-11 10:09 交通出行 来源:思达派 查看原文
QQ钓鱼受害者迅速递增,截止到今天13:00研究被发现、钓鱼网站关闭前,已有16000多条明文QQ账号密码被泄漏。
今天一早,就被隔壁二丫家大姐夫同学家的小表弟的微信吵醒,都是实在亲戚,虽然怀着十二分的不情愿我还是睁开了眼睛,擦,信息安全问题,这可是我的强项,这次必须在二丫心中留下光辉形象(呃,我的个性头像可以忽略哈)。
小表弟发来的链接问我这个能不能点?!呵呵,以我多年混迹江湖的经验一看就知道这是一个利用了腾讯的分享组件。下面我简单构造还原了下利用腾讯分享组件进行跳转,bingo顺利通关。
这个钓鱼网站还用了其它几种内容方式,但都是利用了腾讯分享的一些漏洞作为传播途径。满满的都是套路,好奇心害死猫呀。
 随便点开一个后即可发现是赤裸裸的伪QQ空间钓鱼网站嘛。单纯的我,原本想着这至少是腾讯的xss漏洞加拦截马的经典套路吧。谁知道瞬间打脸,这只是一个URL跳转加表单提交的组合钓鱼. 如此low B竟然是这种登录框钓鱼,直接xss打cookie,心伤的无以复加。
秉持着好奇心杀死猫也能成就猫的态度,我右键查看了源代码果真有所发现:它会识别访问者的IP,并检测如果为上海、深圳、天津、珠海的IP,就会自动进行跳转到http://soft.baidu.com(这个有点明白让他为什么不对这几个地区的的访问者进行钓鱼)
这段就更有意思了,它可以躲避一些防护软件的爬虫对其抓取,从而干扰恶意网站识别。发现有简单的表达提交,可以利用xss漏洞来获取cookie,但是安装了安全狗,结果......让我哭会。
所幸,我对自己的智商还是比较满意嗒,经过努力成功的绕过了安全狗,提交了payload,Cookie已收到:
受害者迅速递增,基于一上午的深入研究,我好像暴露了!下午13:00吃过饭,钓鱼网站关闭,然而截止仍有16000多条明文QQ账号密码被泄漏出去鸟,吓死宝宝了。
影响范围:
@二丫,事件告一段落,后续我还会继续努力的!
专注于
安全大数据
微信号


为您推荐: