黑产godlike攻击:?邮箱?XSS?窃取?appleID?的案例分析
最近黑产利用腾讯邮箱的漏洞组合,开始频繁的针对腾讯用户实施攻击。
其利用的页面都起名为godlike.html,所以我们把这起攻击事件命名为godlike。
主要被利用的漏洞有3个, 一个 URL 跳转, 一个 CSRF, 另外一个就是 XSS
早上的时候被同学叫起来看一个链接
http://static.wooyun.org/drops/20151230/2015123010282916310.png
第一眼看到这个以为是张图片, 欺骗性很高, 不过因为当时嫌麻烦没有点进去
后来在电脑上发现是一个链接而不是图片才感到有问题, 这里的锅主要是腾讯的一个 URL 跳转了.
0x01 URL 跳转恶意构造指向 title
这里的这个 URL 跳转很猥琐
可以看到被指向的 url 是 www.qmaild.xyz。
而这个 www.qmaild.xyz 把 title 设置成了这样
http://static.wooyun.org/drops/20151230/2015123010283044898.jpg
所以在手机里会有产生极为类似 img 文件的效果, 如果加上类似 『这个妹子好正』,之类的相信上钩的几率会更加高, 附一张手机 QQ 发送正常图片的截图
http://static.wooyun.org/drops/20151230/2015123010283084544.png
0x02 CSRF 自动请求 XSS 页面
跳转到 www.qmaild.xyz 这个 URL 之后直接 iframe 了 godlike.html ( 我猜是个玩 lol 的放纵 boy, 具体代码可以看下面
http://static.wooyun.org/drops/20151230/2015123010283072610.jpg
没什么好说的, 巴拉巴拉就到了下面
由 form 表单跳转到的企业邮箱页面如下, 加载了 qzoneon.com 这个 URL 下的一段 js
http://static.wooyun.org/drops/20151230/2015123010283179855.png
哎呀, 页面变成这样了, 好糟糕, 看下html代码, 有奇怪的 script 进来了, 这段加载的 js 就是偷取 cookie 发送到攻击者的服务器上。
http://static.wooyun.org/drops/20151230/2015123010283232506.jpg
恩, 果不其然, orz, 如果不是同学提前跟我说估计我也上钩了, 以后民那桑打开 QQ 里的东西还是小心点为好 = =
因知乎上已经出现了详细的漏洞分析:https://www.zhihu.com/question/39019943,故公开此文章。
http://static.wooyun.org/drops/20151230/2015123010444923886FDF4740F-BA95-41E2-8DAC-DB0A2102872F.jpg
<img alt="SosoImg"/>
http://wooyun.b0.upaiyun.com/wooyun_job/avatar/default.png
朱英达2016-01-02 14:49:00
这里说的url跳转,其实就是一个反射型xss,属于非持久xss的一种。建议修改下
http://wooyun.b0.upaiyun.com/wooyun_job/avatar/default.png
lanyan2016-01-01 22:04:45
csrf配合xss的典型案例
http://zone.wooyun.org/upload/avatar/avatar_3300.jpg
刘海哥2015-12-31 08:51:08
然而https的qq邮箱。很麻烦!
页:
[1]