黑產godlike攻擊: 郵箱 XSS 竊取 appleID 的案例分析

wyzsk發表於2020-08-19
作者: 路人甲 · 2015/12/30 18:34

最近黑產利用騰訊郵箱的漏洞組合,開始頻繁的針對騰訊使用者實施攻擊。

其利用的頁面都起名為godlike.html,所以我們把這起攻擊事件命名為godlike。

主要被利用的漏洞有3個, 一個 URL 跳轉, 一個 CSRF, 另外一個就是 XSS

0x00


早上的時候被同學叫起來看一個連結

第一眼看到這個以為是張圖片, 欺騙性很高, 不過因為當時嫌麻煩沒有點進去

後來在電腦上發現是一個連結而不是圖片才感到有問題, 這裡的鍋主要是騰訊的一個 URL 跳轉了.

0x01 URL 跳轉惡意構造指向 title


這裡的這個 URL 跳轉很猥瑣

http://jump.qt.qq.com/php/jump/check_url/?url=http://www.qmaild.xyz

可以看到被指向的 url 是 www.qmaild.xyz。

而這個 www.qmaild.xyz 把 title 設定成了這樣

所以在手機裡會有產生極為類似 img 檔案的效果, 如果加上類似 『這個妹子好正』,之類的相信上鉤的機率會更加高, 附一張手機 QQ 傳送正常圖片的截圖

0x02 CSRF 自動請求 XSS 頁面


跳轉到 www.qmaild.xyz 這個 URL 之後直接 iframe 了 godlike.html ( 我猜是個玩 lol 的放縱 boy, 具體程式碼可以看下面

沒什麼好說的, 巴拉巴拉就到了下面

0x03 XSS


由 form 表單跳轉到的企業郵箱頁面如下, 載入了 qzoneon.com 這個 URL 下的一段 js

哎呀, 頁面變成這樣了, 好糟糕, 看下html程式碼, 有奇怪的 script 進來了, 這段載入的 js 就是偷取 cookie 傳送到攻擊者的伺服器上。

恩, 果不其然, orz, 如果不是同學提前跟我說估計我也上鉤了, 以後民那桑開啟 QQ 裡的東西還是小心點為好 = =

因知乎上已經出現了詳細的漏洞分析:https://www.zhihu.com/question/39019943,故公開此文章。

enter image description here

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章