利用手机浏览器网页替换漏洞进行钓鱼

2016-06-25 14:50:52 35 2079
土司号马上就要封了,不想离开土司这个大家庭,还想在这里继续学习,写篇文章,大牛略过。。。。                                                                                                             喷的时候请不要匿名!!!PS:我这人很记仇!

拿360手机浏览器举例,其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码,比如parent.window.opener    它的作用是允许多窗口的浏览器,新打开的子页面可以调动父页面的location.href    这个用法在黑客攻击中不常见,因为W3C根据同源策略,父页面的改变中的referer将是子页面   最常见的用法就是在百度中,博彩网站的流量之争。

如上图在百度搜索 888的一个关键字中,我们点击下去以后就会如下图:

不仅仅打开了一个新的页面,旧的百度页面也因此被替换掉,为此百度只能在爬行中做出防御,但是难免会有漏网之鱼。
因为PC端视乎无法利用,原因如下:
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全

但是相比移动端:
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱

我们看一下一个例子,就在360安全论坛的一个帖子里,我发送了一个链接。


我将链接变成了一个逗号,点击之后他将会跳转到我的攻击页面。

在攻击页面上不放置任何内容,也可以设置一些无聊的内容,我们的目的是将原来的1号窗口替换掉,甚至可以设置延时关闭。

这时候我们回到原来的一号窗口,我们很难发现页面被替换掉了,这个页面由于是临时加工,所以没有复制头像,其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit:

<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>

2.漏洞的利用与危害

①:爬行想要攻击论坛所有帖子,自动匹配URL,生成假页面与attack页面。
/*假页面参考社会工程学因素,让人觉得attack页面只是个无聊的页面,或者设置自动关闭,有条件可以设置浏览器识别*/
②:识别验证码/蠕虫自动发帖,附上attack代码指向假页面。
③:所有将页面引向登陆页面
/*对不起,由于您状态异常,请重新登陆*/
④:记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接,在新窗口打开页面的时候,旧页面的代码已经被替换,并且一模一样,无法识别,所以危害较高。
故可以实现钓鱼的目的!!!



TCV=4(不知道是不是有点高,反正别踩贴就行了,小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。)

关于作者

评论35次

要评论?请先  登录  或  注册
  • 35楼
    2017-2-28 16:11

    不错,感谢分享

  • 34楼
    2017-2-28 16:05

    新知识很棒,学习了

  • 33楼
    2016-11-12 07:05

    新路线,撸主是怎么发现这个的? 是研究W3C的文档吗

  • 32楼
    2016-11-12 00:26

    这思路不错~新姿势啊,感谢分享技术!

  • 31楼
    2016-11-9 21:00

    这样的想法很不错,如果实施起来的话很难防御,基本能有 70%的几率成功。

  • 30楼
    2016-11-9 20:45

    这个是a标签的 target='_blank' 造成的属性里再加上rel='noparent' 就解决这个问题了

  • 29楼
    2016-11-8 10:19

    不是太懂,基本功还是不够扎实

  • 28楼
    2016-7-2 11:20

    顶lz把这么好的技巧分享出来,勉励我等继续分享出更好的渗透技巧

  • 27楼
    2016-7-1 23:44

    感谢大牛分享思路

  • 26楼
    2016-7-1 18:54

    还有这样的,学习了。

  • 25楼
    2016-6-29 19:27

    非常好的一个思路,配合些猥琐的社工,能量很大

  • 24楼
    2016-6-28 15:06

    不错不错,现在的主流应该放在手机端了,对应手机端的文章都应该好好研读.估计pc快要过时了!

  • 23楼
    2016-6-28 01:23
    村长叔叔

    这个东西叫做,百度点击劫持,几年前的东西了。

    1

    麻烦解释下什么叫百度点击劫持???

  • 22楼
    2016-6-28 00:33

    这个东西叫做,百度点击劫持,几年前的东西了。

  • 21楼
    2016-6-27 23:32

    认真看了一遍发现这篇文章很有意思 我已经收藏了 像这种文章 应该多发 好让我们这些小菜见识一下“世面”

  • 20楼
    2016-6-27 18:27

    思路不错,其实手机上的 wifi认证也可以拿来钓

  • 19楼
    2016-6-27 08:51

    这个思路非常的好, 用来做钓鱼社工很不错, 重点在于骗对方点击连接

  • 18楼
    2016-6-26 17:27

    以前看到过这种替换父窗口的,未曾深入,学习了,谢谢HOPE.

  • 17楼
    2016-6-26 16:32

    思路不错!赞

  • 16楼
    2016-6-26 12:28

    这也算是一种新的钓鱼方式了