用户
搜索
  • TA的每日心情

    2019-1-14 23:35
  • 签到天数: 22 天

    连续签到: 1 天

    [LV.4]经常看看II

    管理员

    知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多

    Rank: 9Rank: 9Rank: 9

    37

    主题

    304

    帖子

    1012

    魔法币
    收听
    0
    粉丝
    74
    注册时间
    2016-4-17

    秦i春秋签约作者

    Vulkey_Chen 管理员 知识面,决定看到的攻击面 秦 i春秋签约作者 楼主
    发表于 2017-8-12 16:33:57 1219644
    本帖最后由 jing0102 于 2017-8-12 08:55 编辑


    前言

    某天晚上,key在研究了一下朋友圈在传的QQ点击劫持,直接导致QQ冻结24小时。然后我们一起交流着聊着聊着扯到了二维码劫持这个话题上,发现国内也没有一些实战性的文章,所以针对微信展开了二维码劫持的实战。(顺便让我安静的做个小小的标题党)


    原理

    首先我们来看一下QRLJacking的实际原理:

    1.攻击者首先进行客户端QR会话,并将登录QR码复制到网络钓鱼网站。“现在,一个精心制作的网络钓鱼页面有一个有效和定期更新的QR码可以被发送给受害者。”
    2.攻击者将钓鱼页面发送给受害者。
    3.受害者使用特定目标移动应用扫描QR码。
    4.攻击者获得受害者帐户的控制权。
    5.该服务正在与攻击者的会话交换所有受害者的数据。

    image001.jpg
                                  


    这个原理的缺陷在于 -> 攻击者需要打开客户端QR会话,所以就只能进行1V1的实时性攻击,缺陷较大。

    而我们实验室的成员在交流的时候发现其实可以实时撒网式QRLJacking(命名为:Netting-QRLJacking),恰好之前研究过微信的WEB协议,所以这里拿微信来当作“实验靶机“。

    Netting-QRLJacking的原理如下:

    1.攻击者首先精心制作一个网络钓鱼页面,钓鱼页面获取真实页面的二维码。
    2.攻击者将钓鱼页面发送给受害者。
    3.受害者使用特定目标移动应用扫描QR码。
    4.攻击者后台获得受害者帐户的认证链接。
    5.攻击者打开认证链接后直接控制受害者的微信权限。

    image002.png



    协议分析

    因为写过微信机器人,所以第一时间想起了wxpy这个神奇的模块,不过很有意思的写第一条命令的时候就遇到挫折:

    from wxpy import *
    bot = Bot()

    Bot()需要执行完之后才会执行下一条代码,但是我用的Flask框架的代码就无法执行。
    那怎么办?只能自己去分析微信QR快速登陆的WEB协议:

    1.    获取uuid

    image003.png


    (这个uuid是一个很关键的东西,我们可以通过接口去获取)
    接口:
    https://login.weixin.qq.com/jslogin
    POST正文:
    appid=wx782c26e4c19acffb&fun=new&lang=zh_CN
    image004.png


    返回结果:

    image005.png


    image006.png
    返回结果:
    image007.png '

    (这就是二维码的地址)

    GET请求参数中的uuid也就是上面的uuid,正常组合就行。

    image008.png

    这个监听接口打开,只要有人扫描2的二维码那么就会返回消息:

    image009.png
    这个返回的其实就是微信头像而已:

    image010.png

    真的只是而已么?有心的人已经注意到了最开始有一个window.code=201,这个window.code=201是扫描成功后会返回的,而如果二维码时效性过期就会返回window.code=400。
    image011.png


    window.userAvatar 是头像,window.redirect_uri是用户凭证链接(这里只要我们点开链接直接可以进入用户微信WEB界面进行任意操作)


    代码编写
    这里使用一个能够快速开发flask的框架来完成
    首先定义一个index的route当用户访问index时调用获取uuid的接口 将其渲染到模板中

    image012.png

    模板获取后端传过来的uuid 并用img标签去调用获取二维码的接口在客户端上显示出来 紧接着轮询二维码扫描的API
    并且判断各种情况 尽可能实现地和微信一样
    前端轮询代码

    image013.png

    二维码扫描的route:
    image014.png

    前端用ajax请求后端 将返回的结果转换为Javascript表达式
    当全局里面的code为408的时候说明没有扫描继续递归调用当前函数
    当全局里面的code为400的时候说明二维码过期了自动刷新当前界面获取新的二维码
    当全局里面的code为201的时候说明扫描成功了但没有在移动终端点击确认 将返回的用户头像渲染到界面中 继续递归调用当前函数
    当全局里面的code为200的时候说明用户在移动终端点击确认了这时候将返回的redirect_uri传入到后端 接着跳转返回的redirect_uri
    扫描成功时调用的route:

    image015.png


    钓鱼实践


    image016.png

    image017.png
    res.png
    You died.戏剧性的是这里key自己日了自己了,奶权并没有上当

    研究人员:米斯特安全攻防实验室 @ 奶权 & vulkey
    logo.png
    参考资料:
    https://www.owasp.org/index.php/Qrljacking
    http://wxpy.readthedocs.io

    本帖被以下淘专辑推荐:

    gh0stkey,米斯特安全团队核心。
    i春秋社区核心成员之一。
    关注米斯特安全团队(MstLab):www.hi-ourlife.com
    发表于 2017-8-17 22:16:35
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    150
    很有趣的二维码劫持,填补论坛这方面文章的空缺。


    一位特爱收藏Supreme的大哥哥....
    使用道具 举报 回复
    发表于 2017-8-12 16:37:06
    key师傅就是吊。 ! 细心! 前排支持
    使用道具 举报 回复
    前排支持我key总
    来啊~快活啊~
    使用道具 举报 回复
    发表于 2017-8-12 18:05:23
    厉害厉害!!佩服
    Holle,everybody! I am AuThor!请大家多多关注,同时也多多关照!(勿喷)
    使用道具 举报 回复
    ....  可是确认登录是什么鬼?
    使用道具 举报 回复
    发表于 2017-8-12 18:08:20
    前排支持key总
    没看到的世界,不代表不存在。
    使用道具 举报 回复
    诚殷网络论坛 安全团队 会是一回事,用又是一回事 i春秋认证 i春秋签约作者
    7#
    发表于 2017-8-12 18:20:26
    我key师傅就是厉害!
    参加WEB安全培训,请滴滴我哟!或者联系邮箱:admin@chinacycc.com(只要君信我,定当不负君!)
    使用道具 举报 回复
    发表于 2017-8-14 11:56:40
    key大佬厉害。
    使用道具 举报 回复
    这篇文章,解疑释惑,情真意切,针砭时弊,激浊扬清,体现出一股生气、正气、锐气,涌动着一种社会舆论的正面力量。因此,它往往比一般的思想评论、杂文产生出更加强烈的社会气息,我断定,这是一篇绝世好文!!!
    来啊~快活啊~
    使用道具 举报 回复
    看来现在什么二维码都不能扫描了
    使用道具 举报 回复
    发表于 2017-8-15 13:41:39
    我现在的习惯是,拿到二维码,解密一下,看下访问的URL在确定是不是要扫
    使用道具 举报 回复
    发表于 2018-9-17 10:40:47
    学习一下~
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册