二维码劫持原理及恶意行为分析-黑客接单平台

访客5年前关于黑客接单684
之前看过其他的二维码登陆绑架缝隙,有的当地写的不是很具体,花了不少时刻去研讨二维码的原理,才弄懂缝隙。为了照料更多入门新手,以自己的了解从头总结一遍,二维码登陆原理不是这儿的主题,不过有必要了解一下流程。 1.翻开登陆当地,挑选扫描二维码登陆,此刻加载二维码; 2.客户端开端轮询,即与服务器树立长衔接,来检测二维码状况; 3.用户翻开手机扫描二维码,此刻二维码为“scan”状况,网页向服务器不断向授权服务器轮询授权码; 4.用户手机看到“承认登陆”按钮,点击此按钮向授权服务器恳求授权,答应此二维码授权,二维码为“confirm”状况(假如超时失效,为“timeout”状况); 5.用户点击“承认登陆”后,网页轮询到授权码,此刻带授权码恳求凭据,成功登陆网站,进入个人中心。 问题解构 使用长轮询完成微信网页版扫码登录: https://blog.csdn.net/x2145637/Article/details/52795809 这儿有个疑问,二维码几十秒就会过期,怎样办?能够自己写个浏览器插件实时提取出恳求里边回来的状况参数,二维码会有必定的过期时刻,过期会有对应的状况,监控此状况即可,比方状况参数securityId和二维码字符barcode,并更新securityId状况到本地,若timeout则改写二维码;攻击者从本地将barcode当字符串生成自己的二维码图片放在自己的网站上,js一向轮询本地的securityId状况 这儿用微信二维码作为比方,检查二维码状况状况; 拜访https://wx2.qq.com/,页面如下: 拜访此页面时,其实浏览器与服务器之间会树立一个长衔接,用于监控二维码状况。 监控接口为: https://login.wx2.qq.com/cgi-bin/mmwebwx-bin/login?loginicon=true&uuid=YZm-nRUSFQ==&tip=1&r=-104081975&_=1550587274887 201相当于“scan”状况,手机扫描成功时二维码的状况,手机上点击后监控状况回来如下: 200相当于“confirm”状况,即用户点击承认回来的状况。而且直接回来凭据window.redirect_uri,此刻只需仿制此凭据到其它浏览器拜访,直接可登陆网页版微信。 二维码链接为: https://login.weixin.qq.com/qrcode/Qe3ev-uOPg== 即二维码字符为Qe3ev-uOPg==,当二维码过期,只需更新此字符Qe3ev-uOPg==即可,更新二维码字符接口: https://login.weixin.qq.com/jslogin appid=wx782c26e4c19acffb&fun=new&lang=zh_CN 经过上述可实时更新二维码到自己网站,不必忧虑过期问题。 无“承认登陆”按钮 之一种缝隙,用户扫描二维码直接登陆,没有任何提示,我们都知道,一般扫描二维码会有“承认登陆”等提示,假如没有此提示,简单被攻击者垂钓假造,诱导用户扫描,比方某APP扫描二维码有红包收取,用户只需扫描则被绑架,导致账号被攻击者登陆。这儿用乌云的事例演示。。 能够诈骗绑架进入交游用户的帐号:http://www.anquan.us/static/bugs/wooyun-2013-040673.html。 交游登陆二维码扫描时无任何提示,伪装为加老友的二维码,用户以为是加老友的二维码,,其实是登陆的二维码,当用户扫描时,攻击者那儿可直接登陆用户账号,现在这种缝隙不多了,扫码时基本上都会有登陆等提示 登陆收据盗取 这个缝隙刚开端看的时分,以为是CSRF,,由于大佬们把它归类为CSRF类型,可是我看的时分发现与传统的CSRF彻底不一样,导致一向以CSRF的思想去研讨,被误导了。其实便是收据盗取,结构凭据URL,然后绑架用户的账号。 登陆承认收据盗取,假如没有任何签名维护,攻击者能够直接点击获取的收据拼接链接进行登陆,其实这儿应该是在轮询过程呈现缝隙,用户扫描二维码后,客户端不断轮询恳求服务器,而此次仅仅验证某个令牌等参数来承认用户,只需获取此令牌参数值,则能够假充用户。 取个乌云上的比方,比方 登陆承认恳求如下: http://szsupport.weixin.qq.com/cgi-bin/mmsupport-bin/qrcodelogin?username=*********&key=*************&clientversion=25030133&devicetype=android8&lan=zh_CN&uuid=AXBIICc4sUSDsFnefkNP&pass_ticket=DebNjGnP2dJnq1bMvHvgL%2BezqqE70Ry9iWB625%2FRT8RRnwCD3tlq3qxuxG5YPzhx 其间uuid为二维码字符,usename为微信号,uuid值怎样获取,文章前面部分现已讲过,usename改为要绑架用户的微信号,key值是不知道的,这儿只需知道key的值可经过此链接登陆方针微信号。 Referer获取key思路:URL跳转、引证站外图片处,把跳转的URL、图片改为攻击者自己网站的URL,只需受害用户点击 结构好的URL,会跳转到攻击者网站,此刻在攻击者服务器恳求包的Referer里,就会看到key值,当然假如跳转处URL有key才能够,不然就去寻觅带有key传递的当地,进行结构,只需能结构出向攻击者服务器发送一个恳求即可。 上述获取key值之后,拼接登陆恳求的链接,在浏览器里拜访如下: 点击“承认登陆”直接登陆受害用户微信账号。 二维码CSRF缝隙 为啥这儿是CSRF?上面却仅仅收据盗取,由于上面的“登陆承认”是不需要用户触发,结构URL后由攻击者直接触发。这儿的CSRF缝隙是由于攻击者无法替代用户直接触发“登陆承认“按钮,有必要以用户自己的身份触发,相似往常的添加、删去的CSRF,此处仅仅针对“登陆承认”的CSRF,当然,这儿还需要用户先扫描二维码,而不能让用户直接触发“登陆承认”的恳求,假如点击二维码链接就相当于扫描二维码的话,可直接结构POC。[1][2]黑客接单网

相关文章

有黑客公司帮人找回号收钱的吗

安全建议影响范围首先根据cve的信息,确定漏洞1.7.6和1.8.0-rc3上修复check my_bucket地址前面的流程和上面一样,重点关注在make_child函数中的my_bucket赋值的...

学信网账号注销,合肥黑客联系方式,找黑客帮忙追网赌的钱

import java.rmi.registry.LocateRegistry; -e界说到那个字符串就中止生成暗码,例如:-e999999就表明在生成暗码到99999时就中止生...

被网贷骗钱,但又有黑客说可以把钱找回来,是真的

漏洞复现本月Apache被公布了一个提权的漏洞,并且前天在GitHub上公布出了利用脚本,这几天我负责漏洞应急这个漏洞。 .text:0000000000466AF5 mov rdi,被网贷骗钱,但又...

RIPS源码精读(一):逻辑流程及lib文件夹大致阐明

很早就有深入剖析学习一款源代码审计东西的主意,在查找rips源码剖析相关材料时,发现相关的学习剖析材料较少,所以挑选rips作为该系列文章的剖析方针,由于没有最新版的rips的源码,因而选取的rips...

关于一词的看法

· Windows Server 2008 R2; with Zend OPcache v7.2.15-0ubuntu0.18.04.2, Copyright (c) 1999-2018, by Ze...

Python高档爬虫(四):动态加载页面的解决方案与爬虫署理

假如读者读过我前面的关于爬虫的文章,应该大约都清楚咱们现在能够对一个静态的web页面”随心所欲“了,可是技能的开展总是没有止境的,仅仅是这样对静态页面处理远远不够,要知道现在许多的web页面有意无意为...