前言:这两天在网上瞎转偶然间发现了一个金融平台甚是有趣,表面上是一个帮忙掏钱给人炒股的公司,经过信息收集却发现,这个平台其实也就是一个骗人的空壳公司

模式就是拉人头然后一切和小伙伴充钱炒股的操作,石锤以后,打着为民除害的旗号对其进行小规模测试

XSS输入/出点发现

发现在平台新闻页面网址后进行get传参,对该平台页面源码进行审计,发现后面传的敏感参数一个也没有做过滤

与此同时 我的XSS平台也给出了响应,得到cookie和我进行注册时的账号密码(本来还想着打个cookie然后替换一下,看来来的数据比较直接,免了免了)明文传输账号密码可还行!!!

本地测试成功以后接着多少也得进去体验一下月入过万的滋味吧?没有钱只能向客服姐姐借一点(玩笑脸)

由于我构造好的钓鱼链接打开后页面底部出现乱码(不够隐蔽) 于是我开始了跟在线的客服姐姐进行详细沟通(诱导)

等了大约一分钟,还不点,XSS后台毛都没有,可能我没有暗示到位,于是我又发了链接,诱导他点进去

过了一分钟左右,如我所愿,他已经中招,找个合适理由全身而退


客服账号密码已经到我的XSS平台

登录他的账号进行查看

让我动摇了,跟真的一样

看看就行,钱也不是自己的,能不能提现还是另外一回事儿,但是这种10倍的操盘,在中国也应该是违法的了,到此为止,结束!

顺藤摸瓜

由于这是一个固定的网站模板,通过Google hack语法
我又对其他的平台进行XSS测试,成功率挺高(这取决于客服的安全意识)某种意义上这算是这种模板网站的0day吧?(通病)

心得体会:

也不是每一个反射型的XSS都是那么鸡肋,搭配上合适的社工就能发挥最大的攻击效率,设想一下如果在该网站的评论区发送我够造的连接并配合一定的社工技巧,那么受害的就不是一个两个人了!

本文仅限于网络安全的交流学习,用本文技术造成的网络违法犯罪行为,作者概不负责!

最后修改:2021 年 02 月 10 日 08 : 46 PM
如果觉得我的文章对你有用,请随意赞赏