Sec Hotspot 首页  收藏本站  技术博客  RSS
统计信息
已收录文章数量:8263 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
每日安全动态推送(02-14)   2020.02.14 08:35:03  51
威胁情报周报(2020.2.14)   2020.02.14 17:54:01  41
WiFi6来了,一个时代开启!   2020.02.17 10:47:06  38
[代码审计] - 云购CMS代码审计   2020.02.14 16:45:54  34
等保测评2.0:Windows安全审计   2020.02.15 18:00:01  33
每日安全动态推送(02-18)   2020.02.18 08:05:14  32
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
记一次XSS闲鱼诈骗网站到主机上线再到信息收集的过程
本文来自公众号:HACK学习呀   2020.01.15 10:54:07

前言

距离上次搞闲鱼诈骗网站已经过去20多天了。这20多天里,搞了很多的钓鱼站,类似什么黑咖的 (已经下载到全站源码了,不过不会审计,有兴趣的大佬可以邮件联系我获取。),不过搞这些钓鱼站根本没用,相关部门也没进行管理。骗子们依然逍遥法外,所以最近依然在搞钓鱼网站,然后今天有了一些发现。就写下这篇文章,写的很乱。也是记录一下。希望能够提高大家的警惕性。

目标:也是从闲鱼APP上获取到的链接

XSS注入钓鱼

详细过程就不说了,可以去看我上篇文章。不过这次的xss注入里加入了flash弹窗钓鱼。效果如下:点这里查看详细过程

一个简单的xss弹窗跳转代码:

alert("您的FLASH版本过低,尝试升级后访问该页面!");

window.location.href="填你的flash页面";


flash钓鱼

钓鱼页面:

当然这个页面是我们自己伪造的,下载的文件是利用自解压程序捆绑了木马的(捆绑教程等下写),也是可以正常安装flash的。

等待主机上线

插入xss后,就耐心的等待骗子上线。但是有点警惕性的应该都不会上当的啦 ,不过运气不错,我们这个骗子好像警惕性有点低。 ,哈哈哈。稍微等待了一会后,xss平台返回了一个管理员的cookie,然后再查看远控,主机已经成功上线!然后在xss平台里把弹窗代码取消掉。

xss返回如下:

主机上线:(进行相关取证)

骗子桌面QQ截图:

(进行相关录屏录音取证,有兴趣的朋友可以找我获取

然后该骗子的电脑里没什么有用的信息,就一堆QQ号。。然后决定从诈骗网站中获取更多信息。

信息收集

网站后台:http://xxx.cn/Surplus.php   (扫描出来的)

利用之前xss返回来的cookie进行登录。

利用burp修改cookie进行登录,成功进入后台。

进入后台后发现不是管理员权限?? ,原来是一个小弟?

得想办法搞到管理员权限。然后通过查看cookie,发现可能存在越权访问。

利用修改后的cookie进行登录,运气不错,成功用管理员权限进入后台!哈哈哈。

查看管理员密码:发现管理员密码貌似是一个QQ号 ???QQ是:243XXXXXXX

哈哈哈,有了QQ号就好办了。然后通过百度查询他QQ号的相关信息。

贴吧账号:

还有微信什么的就不发出来了。希望大佬们能出手,让这些骗子去吃过年牢饭吧,哈哈哈。 ,写的比较乱,目前证据也挺乱的,有这个骗子用过的QQ等,还有骗子骗人的过程录屏以及录音(摄像头打开黑屏~~)。但是还是无从下手的感觉,我太菜了。 奥利给!

推荐阅读:

渗透学习-如何搞定一个在闲鱼搞诈骗的网站

http://www.nctry.com/1163.html


希望大家警惕此类骗局,淘宝或者咸鱼站外交易,尽量别交易,避免被骗

天上不会掉馅饼


原创投稿作者: 落幕

作者博客: www.nctry.com