黑产godlike攻击- 邮箱 XSS 窃取 appleID 的案例分析

黑产godlike攻击: 邮箱 XSS 窃取 appleID 的案例分析

最近黑产利用腾讯邮箱的漏洞组合,开始频繁的针对腾讯用户实施攻击。

其利用的页面都起名为godlike.html,所以我们把这起攻击事件命名为godlike。

主要被利用的漏洞有3个, 一个 URL 跳转, 一个 CSRF, 另外一个就是 XSS

0x00


早上的时候被同学叫起来看一个链接

第一眼看到这个以为是张图片, 欺骗性很高, 不过因为当时嫌麻烦没有点进去

后来在电脑上发现是一个链接而不是图片才感到有问题, 这里的锅主要是腾讯的一个 URL 跳转了.

0x01 URL 跳转恶意构造指向 title


这里的这个 URL 跳转很猥琐

http://jump.qt.qq.com/php/jump/check_url/?url=http://www.qmaild.xyz

可以看到被指向的 url 是 www.qmaild.xyz

而这个 www.qmaild.xyz 把 title 设置成了这样

所以在手机里会有产生极为类似 img 文件的效果, 如果加上类似 『这个妹子好正』,之类的相信上钩的几率会更加高, 附一张手机 QQ 发送正常图片的截图

0x02 CSRF 自动请求 XSS 页面


跳转到 www.qmaild.xyz 这个 URL 之后直接 iframe 了 godlike.html ( 我猜是个玩 lol 的放纵 boy, 具体代码可以看下面

没什么好说的, 巴拉巴拉就到了下面

0x03 XSS


由 form 表单跳转到的企业邮箱页面如下, 加载了 qzoneon.com 这个 URL 下的一段 js

哎呀, 页面变成这样了, 好糟糕, 看下html代码, 有奇怪的 script 进来了, 这段加载的 js 就是偷取 cookie 发送到攻击者的服务器上。

恩, 果不其然, orz, 如果不是同学提前跟我说估计我也上钩了, 以后民那桑打开 QQ 里的东西还是小心点为好 = =

因知乎上已经出现了详细的漏洞分析:https://www.zhihu.com/question/39019943,故公开此文章。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐