快,关注这个公众号,一起涨姿势~
在拜读了aircrk大牛的对于斯拉夫字母字符的分析之,既然这种特殊字符中的某一些在浏览器中区分并不大,所以我们能够使用此种方法进行钓鱼构造,或者注册含有特殊字符的用户名进行社会工程学攻击;同样的我们能利用此法进行域名构造来进行钓鱼操作?
先选一个构造好的字符串进行测试。
我们发现我们通过此法构造出来的域名同样能够在QQ中实现混淆作用,然后我们进行点击测试。
发现跳转至
http://www.xn--dmin-43d.com/
看到这里可能有人对此跳转比较奇怪,实际上可以尝试通过百度关键字inurl:xn-- 进行分析
实际上这是由于浏览器在解析非常规域名时需要进行先转码,转换成常规格式,然后再进行解析,而这种砖码之后的域名特点就是其域名前面还有xn--标记,然后使用punycode进行转换,转转常规格式。
阿里云
美橙互联
经测试,大部分网站都不可能,但是西部数码是可以的。
然后果断注册
TOOLS
简单测试了下微信和QQ
PC端QQ当以特殊字符为首时,跳转正常;微信无法自动生成链接
移动端QQ作URL无解,作邮箱使用一切正常;移动端微信作URL和邮箱皆无解。
本文始发于微信公众号(T00ls):【奇技淫巧】斯拉夫字母辅助作用之域名
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论