利用手机浏览器网页替换漏洞进行钓鱼
土司号马上就要封了,不想离开土司这个大家庭,还想在这里继续学习,写篇文章,大牛略过。。。。 喷的时候请不要匿名!!!PS:我这人很记仇!
拿360手机浏览器举例,其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码,比如parent.window.opener 它的作用是允许多窗口的浏览器,新打开的子页面可以调动父页面的location.href 这个用法在黑客攻击中不常见,因为W3C根据同源策略,父页面的改变中的referer将是子页面 最常见的用法就是在百度中,博彩网站的流量之争。
如上图在百度搜索 888的一个关键字中,我们点击下去以后就会如下图:
不仅仅打开了一个新的页面,旧的百度页面也因此被替换掉,为此百度只能在爬行中做出防御,但是难免会有漏网之鱼。
因为PC端视乎无法利用,原因如下:
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全
但是相比移动端:
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱
我们看一下一个例子,就在360安全论坛的一个帖子里,我发送了一个链接。
我将链接变成了一个逗号,点击之后他将会跳转到我的攻击页面。
在攻击页面上不放置任何内容,也可以设置一些无聊的内容,我们的目的是将原来的1号窗口替换掉,甚至可以设置延时关闭。
这时候我们回到原来的一号窗口,我们很难发现页面被替换掉了,这个页面由于是临时加工,所以没有复制头像,其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit:
<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>
2.漏洞的利用与危害
①:爬行想要攻击论坛所有帖子,自动匹配URL,生成假页面与attack页面。
/*假页面参考社会工程学因素,让人觉得attack页面只是个无聊的页面,或者设置自动关闭,有条件可以设置浏览器识别*/
②:识别验证码/蠕虫自动发帖,附上attack代码指向假页面。
③:所有将页面引向登陆页面
/*对不起,由于您状态异常,请重新登陆*/
④:记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接,在新窗口打开页面的时候,旧页面的代码已经被替换,并且一模一样,无法识别,所以危害较高。
故可以实现钓鱼的目的!!!
TCV=4(不知道是不是有点高,反正别踩贴就行了,小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。)
拿360手机浏览器举例,其他浏览器想玩的可以自己测试下。
W3C规则中有很多偏执的js代码,比如parent.window.opener 它的作用是允许多窗口的浏览器,新打开的子页面可以调动父页面的location.href 这个用法在黑客攻击中不常见,因为W3C根据同源策略,父页面的改变中的referer将是子页面 最常见的用法就是在百度中,博彩网站的流量之争。
如上图在百度搜索 888的一个关键字中,我们点击下去以后就会如下图:
不仅仅打开了一个新的页面,旧的百度页面也因此被替换掉,为此百度只能在爬行中做出防御,但是难免会有漏网之鱼。
因为PC端视乎无法利用,原因如下:
1.PC端浏览器存在地址栏
2.PC端浏览器看得到页面变动状态
3.PC端防御功能齐全
但是相比移动端:
1.移动端地址栏默认隐藏
2.移动端浏览器在新的页面时将无法看到旧页面的变更状态
3.移动端防御功能相对薄弱
我们看一下一个例子,就在360安全论坛的一个帖子里,我发送了一个链接。
我将链接变成了一个逗号,点击之后他将会跳转到我的攻击页面。
在攻击页面上不放置任何内容,也可以设置一些无聊的内容,我们的目的是将原来的1号窗口替换掉,甚至可以设置延时关闭。
这时候我们回到原来的一号窗口,我们很难发现页面被替换掉了,这个页面由于是临时加工,所以没有复制头像,其实页面可以使用kali的工具直接爬行。
由于浏览器默认选择的隐藏URL所以漏洞将造成严重危害。
贴下利用的exp
1.exploit:
<script type="text/javascript" >
if (parent.window.opener) {
parent.window.opener.location = 'http://www.xxxxx.com/attack.html';
};
</script>
2.漏洞的利用与危害
①:爬行想要攻击论坛所有帖子,自动匹配URL,生成假页面与attack页面。
/*假页面参考社会工程学因素,让人觉得attack页面只是个无聊的页面,或者设置自动关闭,有条件可以设置浏览器识别*/
②:识别验证码/蠕虫自动发帖,附上attack代码指向假页面。
③:所有将页面引向登陆页面
/*对不起,由于您状态异常,请重新登陆*/
④:记录下用户名与密码。
对存在parent.window.opener的页面默认不予以新窗口打开。
由于整个过程中用户只因为在网页中点击了一个链接,在新窗口打开页面的时候,旧页面的代码已经被替换,并且一模一样,无法识别,所以危害较高。
故可以实现钓鱼的目的!!!
TCV=4(不知道是不是有点高,反正别踩贴就行了,小菜经历过论坛里匿名的语言攻击给小菜的心灵带来了很大的伤害。)
评论35次
很多年前做医疗的,百度竞价,那一页就是跳转到伪装的百度上的
原来这个博客http://utf7.ml/welcome.html是这样做的啊。
这是你做的??
很明显不是我做的。
没玩过钓鱼 思路可以 感谢分享
学xi鸟,谢谢楼主分享
这个思路第一次见,虽然没有实施过钓鱼但感觉挺有意思的
大水比,为什么我在每个贴里面都能看到你?
我生平最讨厌喷子,我不和你斯,你可以给我发私信,说什么地方水,我发的帖子我至少都认真看过,我回复是因为一是确实想说两句,二是真的很想凑够200积分,不然权限20的帖子没法看,
恩,不要管别人,咱们做自己就好!!!
原来这个博客http://utf7.ml/welcome.html是这样做的啊。
这是你做的??
不错的思路 感谢大牛分享。
这个思路第一次见,虽然没有实施过钓鱼但感觉挺有意思的
大水比,为什么我在每个贴里面都能看到你?
我生平最讨厌喷子,我不和你斯,你可以给我发私信,说什么地方水,我发的帖子我至少都认真看过,我回复是因为一是确实想说两句,二是真的很想凑够200积分,不然权限20的帖子没法看,
原来这个博客http://utf7.ml/welcome.html是这样做的啊。
这个可以,赞一个!
思路不错,利用起来需要一定的web语言功底,不适合大众玩
支持大兄弟 hope
这个思路第一次见,虽然没有实施过钓鱼但感觉挺有意思的
大水比,为什么我在每个贴里面都能看到你?
这个思路第一次见,虽然没有实施过钓鱼但感觉挺有意思的
写的很好 支持赞一个