鱼站追踪记

时间  2019-11-11
标签 追踪 繁體版
原文   原文链接

i春秋版主:Sp4cephp

 

事情的原由很简单,一哥们在I春秋韩群发了个连接html

image.png

 

闲的没事干看了下ios

这个钓鱼用到了凤凰网的一个XSS漏洞,而因为凤凰网是腾讯白名单,因此该连接在发出时是绿标【腾讯被友商坑惨了】chrome

image.pngimage.png

因为该鱼站对访问者的UA和Refer作了检测 因此找一个表哥要了他的iPhone X的UAjson

image.pngimage.png

因为chrome在访问带有<script> 标签的页面会被拦截浏览器

image.png

所以换用360“安全”浏览器安全

首先安装魔变插件,而后添加UA服务器

Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E302 QQ/7.5.8.422 V1_IPH_SQ_7.5.8_1_APP_A Pixel/1125 Core/UIWebView Device/Apple(iPhone X) NetType/4G QBWebViewType/1ide

image.png

而后设置代理服务器测试

image.png

而后开始抓包分析 看看到底在哪一步出现了钓鱼网站

因为鱼站用了凤凰网的反射型XSS漏洞,所以第一个请求是凤凰网的

群友发的连接是https://m.so.com/tjump?u=//pvp.qq.com%40url.cn/5NCxnuh&?_wv=3FiWJqlkhtY

通过url解码是https://m.so.com/tjump?u=//pvp.qq.com@url.cn/5NCxnuh&?_wv=3FiWJqlkhtY

这里须要讲下URL中的@做用

对比下下面2个地址栏

image.png

image.png

@符号在URL中会将前面内容无效化(我的理解为注释,好比图一,前面的pvp.qq.com就被X掉了),所以图一会访问百度而不是王者农药官网

所以,整个流程以下

image.png

最终鱼站为:

fhuanxi.aa49b.cn/view.php

该页面没法直接访问,须要更改UA和加refer

image.png

又利用了hao123的跳转漏洞:

image.pngimage.png

跳到了美团的一个连接

s3.meituan.net/v1/mss_beb8568dae034a508fb2d11abbf9920e/zhaopin/social%2Ftemp%2Fc91aff92f99df7b726dee1fdcdbee986

该连接通过请求后会302到t.cn的短连接

image.png

http://t.cn/R1UYRSJ通过请求后会回传一个JS文件

 

JS文件通过本地搭建测试为钓鱼网站源码【实际为HTML代码通过URLencode后的】

网页代码通过解码格式化后发现了点好玩的

首先是http://huanxi.aa49b.cn/template/js/pvp.js文件

image.png

这个文件对iPhone设备作过处理,防止用户认出是钓鱼网站而且对UA作了判断,不是移动设备直接跳到pvp.qq.com/m

可是在安卓上就很败笔

【安卓设备,SM-G9300】image.png

【苹果设备:iPhone X】

image.png

另外在苹果设备上若是直接访问美团的连接会出现下图

【设备:iPhone 6】image.png

这也解释了为何鱼站大费周折利用了N多跳转漏洞来进行钓鱼的缘由

另外美团的页面好像能加载外部JS

image.png

接着对HTML代码分析,发现了抽奖JShttp://www.bzggbl.com.cn/template/js/page.js

image.png

以及一个未知的json.php

image.png

和登陆页面的JS

image.png

http://huanxi.aa49b.cn/js/login.js

image.png

该页面一样为urlencode后的html,解码后为真正钓QQ的页面

image.png

钓鱼网站的后台通过几分钟扫出来了

image.png

http://huanxi.aa49b.cn/admin__/login.php

image.png

先小结下

本次跳转连接涉及到的厂商均互为白名单

涉及到厂商及URL跳转数量

hao123【现属于百度】1个
360搜索1个
腾讯1个
美团1个
凤凰网1个【凤凰网全站均存在不一样程度的URL跳转漏洞并屡次被利用,但愿贵司安所有看到后能自查】

随后动用某平台进行了威胁情报反查
域名对应IP:185.243.243.48

image.png

域名whios反查:

注册者        韩琴 (相关域名 498 个)

邮箱        2070169918@qq.com (相关域名 499 个)

可视化:image.png

鱼站的渗透工做随后与一些表哥展开

@美团点评SRC @360SRC @百度SRC  @腾讯SRC 

鱼站用到的文件打包好了,查看原文便可下载。

截至2018年6月4日 11:20 鱼站已暂停。。

image.png

i春秋推出优享会员制,开通会员能够免费畅享多类课程、实验、CTF赛题等付费内容,并可享有包括会员日专属福利、就业推荐等多种特权福利,更多活动详情可点击:https://bbs.ichunqiu.com/thread-40795-1-1.html了解哦~

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程