用户
搜索
  • TA的每日心情
    擦汗
    2019-10-23 13:53
  • 签到天数: 93 天

    连续签到: 1 天

    [LV.6]常住居民II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    55

    主题

    293

    帖子

    168

    魔法币
    收听
    0
    粉丝
    11
    注册时间
    2017-5-9

    限定版春秋段子手i春秋签约作者

    发表于 7 天前 3955
    之前我也遇到过iphone被偷,因为18年的凌晨4点打了个“出租车”然后把手机导航给了司机,下车的时候找他拿给他跑了!然后我手机卡因为没有补办所以我不知道,我有没有收到这种信息。


    上面这条信息是一个网友的,2020年过年期间有几个网友在火车站遇到手机给偷了,然后也收到这种信息,然后跑来私信我求助,而且过年期间上百个“赌徒”输了钱找我帮他们意淫一些奇葩想法!

    访问了这个页面,这个截图是过年期间的截图的,有部分后来补上的!页面非常逼真,跟真实的简直一样包括pc端,之前我也“遇到过几次这种钓鱼网站”但是都是比较简陋,大多数都有漏洞的,但是这个有点不一样所以,尝试一下测试。

    登录的时候会验证我输入的“账号密码”是否为苹果的密码例如WINWIN.dd22这样子,如果到达不了这个安全性的密码,是会显示密码错误。

    像图一图二,这样的登录系统,一般都是习惯测试SQL注入,但是这种是钓鱼网站,我输入的信息对方是一定会接收到的,所以习惯性的插入XSS载荷,这可能是最直接的方式。

    输入payload的时候,这里前端做了一些限制,只能输入7位数好像,不过是前端限制的,直接在数据包里面替换就可以绕过了。

    测试了xss的完整payload过去,发现是有收到xss生效的信息,但是对方网站是存在httponly,没收到有用cookie

    一共两条,其中一条是返回,页面的html源代码,这是一个很关键的,我这里标记一下。


    登录处也测试了几次,发现没有什么漏洞,用户返回可以self-xss,没什么作用,前端登录框架跟系统内部的,源代码大部分是不会暴露在,所以刚刚xss虽然没有cookie,但是返回了一条有用的html源代码

    看到这里,他们对外面的安全性,还是可以的,一个php文件名字也设置的很复杂,有了这个系统内html源文件就方便很多了。

    其中可以看到这里有个/password的目录跟请求参数,下这是一条创建新管理员的请求,我测试请求。

    上图中做出一个,构造的请求包,这是按照系统给出的参数跟路径,做出的请求!但是这里显示“请先进行登录”没有越权之类的操作

    但是这里可以与前面的xss,一起配合试试看组合一个xsrf,前提这个请求数据包是存在csrftoken的,这里地方我卡主了很久!因为csrftoken必须存在才能保证测试有效。

    在这个步骤卡住了一段时间之前,后来想换其他方式测试,但是无意间在前台做出一条post的请求的时候,发现每次请求数据包里面会给我一条csrftoken,这条token我多次验证,最终得出一个结论就是,每次请求会给我一条全新的token,如果这条token我不去使用,它是一条有效的csrftoken,如果使用了就无效,这是一个突破点,这条接口帮助了我。

    这样可以把我新生成出来的token放进去,管理员请求了,就会变成一条有效的操作请求

    配合xss.js可以直接提交给管理员,然后管理员如果再次收到我的恶意payload就会自动创建一个新用户出来,但是我需要搭配一条非同源的访问记录链接,这样管理员访问到我的payload时我就会收到记录。

    上面这里被请求到了,马上就有了记录,可以试试看“管理员”帮我们创建的账号

    这家钓鱼网站,做得还是很不错的不过几张图是后面补充,所以没讲太明白,过程大概就这样,然后到了后面,他们把网站给关闭了,换了其它地址应该是,发现了我

    查了一下域名相关的邮件跟姓名,其实这种网站你把它黑了,他们也不在乎,我查了一下它一个邮件就有70多个专门用来钓鱼的域名

    所以这里提醒一下,手机被偷后收到这种短信大部分都是来钓你的id号


    首发“微信公众号(快识)”,关注公众号:快识,发送01,领取1000G学习教程以及学习规划路线



    图片没了……
    使用道具 举报 回复
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册