利用手机浏览器网页替换漏洞进行钓鱼

2016-06-25 14:50:52 35 2521 6
土司号马上就要封了,不想离开土司这个大家庭,还想在这里继续学习,写篇文章,大牛略过。。。。                                                                                                             喷的时候请不要匿名!!!PS:我这人很记仇!

拿360手机浏览器举例,其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码,比如parent.window.opener    它的作用是允许多窗口的浏览器,新打开的子页面可以调动父页面的location.href    这个用法在黑客攻击中不常见,因为W3C根据同源策略,父页面的改变中的referer将是子页面   最常见的用法就是在百度中,博彩网站的流量之争。

如上图在百度搜索 888的一个关键字中,我们点击下去以后就会如下图:

不仅仅打开了一个新的页面,旧的百度页面也因此被替换掉,为此百度只能在爬行中做出防御,但是难免会有漏网之鱼。
因为PC端视乎无法利用,原因如下:
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全

但是相比移动端:
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱

我们看一下一个例子,就在360安全论坛的一个帖子里,我发送了一个链接。


我将链接变成了一个逗号,点击之后他将会跳转到我的攻击页面。

在攻击页面上不放置任何内容,也可以设置一些无聊的内容,我们的目的是将原来的1号窗口替换掉,甚至可以设置延时关闭。

这时候我们回到原来的一号窗口,我们很难发现页面被替换掉了,这个页面由于是临时加工,所以没有复制头像,其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit:

<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>

2.漏洞的利用与危害

①:爬行想要攻击论坛所有帖子,自动匹配URL,生成假页面与attack页面。
/*假页面参考社会工程学因素,让人觉得attack页面只是个无聊的页面,或者设置自动关闭,有条件可以设置浏览器识别*/
②:识别验证码/蠕虫自动发帖,附上attack代码指向假页面。
③:所有将页面引向登陆页面
/*对不起,由于您状态异常,请重新登陆*/
④:记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接,在新窗口打开页面的时候,旧页面的代码已经被替换,并且一模一样,无法识别,所以危害较高。
故可以实现钓鱼的目的!!!



TCV=4(不知道是不是有点高,反正别踩贴就行了,小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。)

关于作者

评论35次

要评论?请先  登录  或  注册