記一次通過QQ郵箱被釣魚的事件
0×0 背景
福無雙至、禍不單行。本來是風和日麗的天氣,白帽子在工地認真搬磚然後被一些所謂的負(dou)責(bi)人懟了,心裡感覺到很委屈。準備下班之際莫名其妙收到了一封QQ郵箱彈窗點開一看直覺就是”這貨有毒”。
0×1 過程
主題是:新學期課程表安排通知 ,感覺還是比較有針對性的,想一想自己前段時間加入一些考研群的,目測就是這些群裡面的人吧。話不多說,就開啟burpsuit看看通訊過程。
一訪問這個域名就直接跳到一個頁面:
http://o.a.jjnt.win/1.php?_wv=886?oNgf
直接就讓我輸入QQ號碼和密碼、然後我就輸了一下抓包顯示還是明文傳輸。
一共需要提交三個欄位的變數:ip user pass。
處理的PHP是456fghfghjkdg415646.php;
然後對這三個變數測試了一番,安全性還做的挺好的常見的攻擊方式都被過濾了。
準備看看有沒有其他互動內容,根目錄下面還有一個robots檔案,也沒有太大用處。
算了,還是換成正常字元走一下流程。輸入之後直接就跳轉到了QQ主頁。
0×2 其他查詢
上VT和微步都查詢了這個域名,未發現異常。
查詢了一下這個網站的域名註冊資訊,發現是一家叫成都西維數碼科技有限公司的網際網路服務商,提供VPS、域名註冊等業務。
0×3 總結與建議
1.就只做到這裡了本來還想反滲透給他發個Client後門交個朋友的,想想還是罷了。
2.對於很多讓你輸入使用者名稱、密碼、身份證號碼、銀行卡卡號和密碼的地方一定要認真的看一下網址,這一類銀行網站和淘寶QQ網站的釣魚相對多一些,比如ICBC.com改成1CBC.com或者Boc.com 改成B0c.com這種情況,一些網站的首頁和真的做的一模一樣。
3.認清https站點現在登入介面安全登入已經比較普遍,登入的時候稍微留心一下說不定就避免了賬號被盜了。
*本文原創作者:si1ence,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載