|
图片不少,流量党慎入。算了,你已经点进来了
还是关于iphone钓鱼的文章,这次不讲技术,不讲路虎,我们抓人可好? 收到这样一个钓鱼站,怀着特别激动的心情点进来。
这网站程序是基于ASP语言编写的,并且,这款程序存在XSS漏洞登录框输入三次账号密码就会提示跳转到一个
[url=]http://www.xxxxxxappleid.cn/ask2.asp?WTXXR=16303255401118587657.html[/url]
为什么这样呢?两个原因
1.钓鱼者担心你随便输入来试探真假。
2.钓鱼者担心你撸多了眼花输错密码。
进来以后是这个样子的:
XSS漏洞不在这个地方,我们按照程序规定的格式输入一些假信息进入下一步 www.xxxxxxappleid.cn/ask3.asp%3FVIVKQL%3D977562307830245529.html
漏洞就是在这个点(上图),当然,不是像我图片一样输入XSS就造成攻击了,具体请自己去了解XSS攻击,这里我们不讲技术。过了一分钟,钓鱼者(网站管理员)的cookie就到碗里了
得到了cookie即可进入网站的后台,这里使用中国菜刀进行cookie替换。
钓鱼站的惯性就是存活周期及其短暂,通常一个IP绑定数十个甚至数百个域名。一段时间后就会更换域名。其实换汤不换药,这些域名、服务器、都是同一个人/团伙。后台钓来的资料基本在1-2天内会删除掉(应该是把资料转移到了本地进行后续操作) 后台有一个特别人性化的功能 封锁被害者的IP以后,就会让你访问时直接跳转真正的苹果官网。同时还有限制电脑/手机访问等功能 开,始,日,天 首先保存一些我需要的资料,比如后台密码,防止cookie失效 这种钓鱼站默认账号都是apple ,直接右键读取源码查看密码。
登录钓鱼者的新浪邮箱,在邮箱中发现了支付宝的邮件。这真是意外之喜
成功登录上来了,好激动!可是没有支付密码,好气哦!不行,这么多钱必须上交给国家。 继续回到新浪邮箱中,发现了身份证正反面,恍恍惚惚呵呵哈哈,天助我也。不止这些,还发现了12306。
手抖的试了一下,12306和支付宝/新浪邮箱是同一个密码。现在,有了钓鱼者的手机号、住址、身份证正反面、邮箱账号密码等信息 再一次提醒大家,不要使用通用密码。撞库的可怕永远都是这么直接! 好了,我们把剧情拉回到支付宝,有了上面这些资料重置登陆密码和支付密码妥妥的。
四张信用卡,三张是别人名字,总共七张,真有钱,住在风景区转了五百块钱试了一下 今晚上大保健有着落了!恍恍惚惚呵呵哈哈 没高兴两分钟,他似乎发现了异常。但是我修改了很多东西,还有他的身份证信息,现在就是维持权限。他提交工单,我就帮他取消工单,棒棒哒,玩的不亦乐乎。他还申请了盗号补偿,现在已到账,真心快。 经过一夜激烈的斗争,他的支付宝依然在我手中,手机被解绑,邮箱被修改,身份证信息已保存。 当我第二天再去看钓鱼网站后台的时候(这家伙居然不改后台密码),发现邮箱改了:
感觉团队中的gscld提醒,这是腾讯企业邮箱,老方法读取密码。
成功登录上来,这个邮箱还绑定了iphone
还,特,么,是,两,台
进入iCloud 最后定位在北京市xx区xxxx
又到了激动人心的总结时刻了:
手法上的失误:应该从银行卡转到余额宝,再到转支付宝,可以绕过某些短信验证。
思想上的疑惑:一个人在支付宝可以绑定这么多人信用卡,这行为是否合理?
在转他支付宝时候我留了一个心眼,万一这是个正常人,只不过是泄露了信息,邮箱被当做发件使用呢?
还有一个疑问,这人支付宝不存钱【上图中支付宝的钱是我从他银行卡中转进去的】
钱都在银行卡里面,这个人也是一个市场销售经理,但是却有不同人的信用卡在支付宝绑定着,我不知道这人的颜色。请大家转载起来,希望公安机关能够看到,由公安机关来调查吧
来自SSS安全团队的本文作者:噬魂表示,未打码的信息无偿提供。
| 
窥视卡
雷达卡
发表于 2016-12-13 23:39:22
收藏
转播
分享
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜