【漏洞实例】记一次奇葩的URL跳转

admin 2024年6月17日14:22:45评论4 views字数 731阅读2分26秒阅读模式
记一次奇葩的URL跳转
【漏洞实例】记一次奇葩的URL跳转

在浏览网页的时候,基于职业操守,打开了F12

【漏洞实例】记一次奇葩的URL跳转

偶然发现那么一个请求

https://i.abc.zhbk.com/client/store/qrcode/getIMG.action?url=https://passport.zhbk.com

打开后发现是一个二维码,利用手机扫一扫,发现跳转到了 passport.zhbk.com 上面

【漏洞实例】记一次奇葩的URL跳转

于是有个大胆的猜测,这里可能存在URL跳转,尝试构造一下payload

https://i.abc.zhbk.com/client/store/qrcode/getIMG.action?url=https://evil.com%E3%80%82passport.zhbk.com

然后生成了一个二维码,我尝试扫描确实跳转到了恶意网站,但其实到这儿,我还是担心会被忽略,因为这需要用户交互后才可以达到效果

【漏洞实例】记一次奇葩的URL跳转

随即想到一个解析二维码的网站—草料,抱着试一试的心态看看解码出来会是什么

https://cli.im/deqr/other

解码出来居然是一个短链接,而且是该SRC的域名!随即提交获取赏金!

【漏洞实例】记一次奇葩的URL跳转

【网安智汇】知识星球介绍
【漏洞实例】记一次奇葩的URL跳转

创建知识星球的初衷就是为了分享学习资料,同时也是为了清理电脑和网盘的缓存,知识星球目前已经分享了安全运营、SRC漏洞实例、电子书籍、攻防红蓝紫方资料。可以自行扫码加入。

【漏洞实例】记一次奇葩的URL跳转

或者在微信公众号后台发送“微信群”,加入交流群参与后续的抽奖活动免费进入知识星球。

【漏洞实例】记一次奇葩的URL跳转

END

原文始发于微信公众号(Undoubted Security):【漏洞实例】记一次奇葩的URL跳转

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日14:22:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞实例】记一次奇葩的URL跳转https://cn-sec.com/archives/2855854.html

发表评论

匿名网友 填写信息