新技术论坛
搜索
查看: 1121|回复: 0
打印 上一主题 下一主题

[渗透实战] iPhone钓鱼党,你敢钓我鱼?就准备好被逮捕吧!

[复制链接]
  • TA的每日心情
    开心
    2016-12-9 18:18
  • 签到天数: 85 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-12-13 23:39:22 | 只看该作者 |只看大图 回帖奖励 |正序浏览 |阅读模式
    图片不少,流量党慎入。算了,你已经点进来了


    还是关于iphone钓鱼的文章,这次不讲技术,不讲路虎,我们抓人可好?
    收到这样一个钓鱼站,怀着特别激动的心情点进来。

    这网站程序是基于ASP语言编写的,并且,这款程序存在XSS漏洞
    登录框输入三次账号密码就会提示跳转到一个
    [url=]http://www.xxxxxxappleid.cn/ask2.asp?WTXXR=16303255401118587657.html[/url]
    为什么这样呢?两个原因
    1.钓鱼者担心你随便输入来试探真假。
    2.钓鱼者担心你撸多了眼花输错密码。
    进来以后是这个样子的:

    XSS漏洞不在这个地方,我们按照程序规定的格式输入一些假信息进入下一步
    www.xxxxxxappleid.cn/ask3.asp%3FVIVKQL%3D977562307830245529.html

    漏洞就是在这个点(上图),当然,不是像我图片一样输入XSS就造成攻击了,具体请自己去了解XSS攻击,这里我们不讲技术。过了一分钟,钓鱼者(网站管理员)的cookie就到碗里了

    得到了cookie即可进入网站的后台,这里使用中国菜刀进行cookie替换。

    钓鱼站的惯性就是存活周期及其短暂,通常一个IP绑定数十个甚至数百个域名。一段时间后就会更换域名。其实换汤不换药,这些域名、服务器、都是同一个人/团伙。
    后台钓来的资料基本在1-2天内会删除掉(应该是把资料转移到了本地进行后续操作)
    后台有一个特别人性化的功能
    封锁被害者的IP以后,就会让你访问时直接跳转真正的苹果官网。同时还有限制电脑/手机访问等功能
    开,始,日,天
    首先保存一些我需要的资料,比如后台密码,防止cookie失效
    这种钓鱼站默认账号都是apple ,直接右键读取源码查看密码。

    接着是邮箱,同样的方法得到邮箱密码

    登录钓鱼者的新浪邮箱,在邮箱中发现了支付宝的邮件。这真是意外之喜

    猜测这个邮箱密码和支付宝密码是同一个

    成功登录上来了,好激动!可是没有支付密码,好气哦!
    不行,这么多钱必须上交给国家。
    继续回到新浪邮箱中,发现了身份证正反面,恍恍惚惚呵呵哈哈,天助我也。不止这些,还发现了12306。

    手抖的试了一下,12306和支付宝/新浪邮箱是同一个密码。

    翻了一下常用联系人
    现在,有了钓鱼者的手机号、住址、身份证正反面、邮箱账号密码等信息
    再一次提醒大家,不要使用通用密码。撞库的可怕永远都是这么直接!
    好了,我们把剧情拉回到支付宝,有了上面这些资料重置登陆密码和支付密码妥妥的。

    四张信用卡,三张是别人名字,总共七张,真有钱,住在风景区
    转了五百块钱试了一下
    今晚上大保健有着落了!恍恍惚惚呵呵哈哈
    没高兴两分钟,他似乎发现了异常。但是我修改了很多东西,还有他的身份证信息,现在就是维持权限。他提交工单,我就帮他取消工单,棒棒哒,玩的不亦乐乎。他还申请了盗号补偿,现在已到账,真心快。
    经过一夜激烈的斗争,他的支付宝依然在我手中,手机被解绑,邮箱被修改,身份证信息已保存。
    当我第二天再去看钓鱼网站后台的时候(这家伙居然不改后台密码),发现邮箱改了:

    感觉团队中的gscld提醒,这是腾讯企业邮箱,老方法读取密码。

    成功登录上来,这个邮箱还绑定了iphone
    还,特,么,是,两,台
    进入iCloud
    最后定位在北京市xx区xxxx

    又到了激动人心的总结时刻了:

    手法上的失误:应该从银行卡转到余额宝,再到转支付宝,可以绕过某些短信验证。

    思想上的疑惑:一个人在支付宝可以绑定这么多人信用卡,这行为是否合理?
    在转他支付宝时候我留了一个心眼,万一这是个正常人,只不过是泄露了信息,邮箱被当做发件使用呢?
    还有一个疑问,这人支付宝不存钱【上图中支付宝的钱是我从他银行卡中转进去的】
    钱都在银行卡里面,这个人也是一个市场销售经理,但是却有不同人的信用卡在支付宝绑定着,我不知道这人的颜色。请大家转载起来,希望公安机关能够看到,由公安机关来调查吧

    来自SSS安全团队的本文作者:噬魂表示,未打码的信息无偿提供。



    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-23 10:02 , Processed in 0.129234 second(s), 22 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表