#0x001 起因
当我下车踏进吉之岛的范围我的手机“**叮咚**”
#0x002 疑惑后的恍惚
打码范围是正常10086发给我的,是昨天家里人加进来短号了。下面一条是基站发给我的~
刚开始我看到10086我是相信这条短信的。因为10086号码发的嘛。疑惑的是10086换了一个域名?
官方:www.10086.cn
钓鱼站:10086yro.com
我就顿时大悟,原来附近有人用伪基站。 下面科普一下伪基站:
“伪基站”即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。
2014年以来,中央宣传部、中央网信办、最高法、最高检、公安部、工信部、安全部、工商总局、质检总局等9部门在全国范围内部署开展打击整治专项行动,严打非法生产、销售和使用“伪基站”设备的违法犯罪活动。
就类似于DNS劫持,把你手机的信号劫持去伪基站的信号,然后就发送信息给你。
#0x003 到家
急忙回到家中,打开电脑输入10086yro.com,看到以下↓
我随便输入一个11位的号码。就提示182.5元,脚指头一猜就知道有问题...
钓鱼网站,嗯有搞头。去冰箱拿了一瓶王老吉,定了一下神,心中想着思路......
钓鱼站一般都是很水的,很少看到很严格的钓鱼站,一般都是其他的功能转去真正的10086,然后敏感功能才是不会转跳的,我就尝试了一下,点充值之类的,果然都转去10086.cn。那么能突破的口就是不会转跳的兑换人民币功能了,如上图有一个直接兑换...好吧兑换人民币去咯~
#0x004 尝试突破
兑换后我来到的这里,看了一下域名还在本域10086yro.com。
显示的是填写兑换人民币收款信息,嗯,一些贪心的人还看不出什么问题的。我随便填写了一下信息点下一步,发现有提示不符合规范。看来有做一个限制,姓名是什么字符、卡号是什么字符、手机字符长短多少位数之类的。
打开F12,翻翻看看是什么的限制,发现是一个day.js这个东西做的检测。代码如下↓
js限制就想到了burp抓改发送包,耐心的我吧day.js这个文件代码全部看了一遍。没办法细心的我发现没有对密码进行限制,也就是啥字符都可以...丢了一个xss进去,等待ing...
随便输入一个目录看看报错的信息,如下,被狗咬了一口.........
就想到我的xss可能要换一下转义了,换了一个转义再次丢xss进去.....
继续手动输入目录/admin/,出现后台系统,钓鱼站一般都不会很严格,我就想验证一下,admin'
出现了,祭出sqlmap
```c
sqlmap.py -u "http://xxxxx.cn/admin/login.asp" --data "username=admin*"
```
post注入
开跑。
信息:access web:asp win
查看源码:
````php
{
document.getElementById('username').value = '';
document.getElementById('password').value = '';
return false;
}
```
username password
准备指定查询,xss提示上线...
进入。
发现修改密码。
KO。帐号密码都出来了
本文始发于微信公众号(T00ls):对伪基站钓鱼网站的追踪渗透
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论