0x01 前言
2023年12月,接到朋友求助,他的母亲被诈骗5万元,诈骗人使用的是他哥哥的微信号,找到我寻求帮助。经过研判,对方盗取了被害人亲戚的微信号,以老套的诈骗方式“是我是我诈骗”进行作案。
末尾可领取字典等资源文件
0x02 漏洞分析
利用钓鱼链接,让被害人帮忙微信投票,在投票时提示需要登入微信,需要微信的账号密码以及验证码。
漏洞点
这里已经是别的站点了
在盗取微信号后,伪装成本人向亲朋好友借钱
0x03 挖掘犯罪链条中的URL跳转
在拿到盗号的二维码后第一时间对URL进行分析,套路其实很老套,就是我上面说的那些,在挖掘过程中,犯罪链条中的一环跳转了某个大厂的URL。
犯罪链条经过了一层某大厂URL跳转,使得诈骗网站可以逃过QQ/微信等聊天工具的URL检测,成功混进了白名单,没有提示危险。
若跳转的链接非白名单URL,则出现拦截,显示是否确认跳转,如下图:
若链接是白名单,则直接跳转
0x04 URL跳转绕过
综上所述,如果非白名单就会出现拦截如
http://127.0.0.1/?url=http://www.HackTwo.cn
尝试白名单,已知该厂商的白名单有 baidu.com qq.com等
白名单成功跳转,无任何提示直接跳转
犯罪链条中的利用
已知 http://127.0.0.1/?url=http://baidu.com是直接跳转的白名单绕过 http://127.0.0.1/?url=http://baidu.commxxx.cn 利用二级域名绕过检测规则
绕过方法2
http://127.0.0.1/?url=http://baidu.com.xxxxx.cn
案子已经过去几个月了,也已经结案了,但是该漏洞还是没有修复
0x05
原文始发于微信公众号(渗透安全HackTwo):记一次犯罪链条中的URL跳转的挖掘-漏洞挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论