*** 邮箱从Self-XSS到钓鱼攻击分析(多漏洞利用攻击链)

访客5年前黑客文章1354

  前言:疫情在家闲着无聊准备挖洞提src换点钱买个新电脑,对着TX的域名一顿操作,奈何太菜只在 *** 邮箱发现一个存储型self-xss。本着维护 *** 安全为己任的伟大梦想,怎么能放任这个漏洞不被修复呢?必须继续挖下去!!!

  qq邮箱在账户设置中因为编辑器原因存在多处XSS,其中昵称处存在存储型XSS。

  这个地方的XSS我想很多老哥都挖过,奈何TX不收啊, 正准备放弃的时候,脑子里浮现了一张图片:只有不努力的黑客,没有攻不破的系统.png

  

  打开BURP,进行抓包,把更改昵称的包抓下来,发现是POST包,去掉无关参数改成get。

  从上面get包可以看出nickname为XSS参数,其中sid为关键参数,只要获取到sid就可以恶意构造数据包,诱骗别人点击从而触发XSS。

  通过搜索观察 *** 等繁琐操作,发现本地文件上传会自动获取到sid值。尝试 *** 图片,发现 *** 图片获取不到sid值,通过对比分析不断尝试,终于发现可以在上传的时候污染url参数,让服务器进行误判数据包如下:

  让服务器误判图片为本地上传至文件服务器的,这样只要别人打开你的邮件就可以获取到sid值。

  

  在构造XSS的时候发现,XSS字符串存在字符限定和触发过滤限制,这里要感谢公众号:钟馗之眼的作者

  这样就可以完美完成此次的钓鱼攻击了。效果图如下:

  攻击流程图:

  这次涉及的漏洞一览:

  csrf

  参数污染

  xss

  cookie without httponly

  get/post滥用

  逻辑漏洞

  邮件信任机制不严格

  自动加载js等

  转载: 作者公众号“边界骇客”

相关文章

八仙的传说(八仙的传说完整版免费)

八仙的传说(八仙的传说完整版免费) 传说八仙分别代表着男、女、老、少、富、贵、贫、贱,由于八仙均为凡人得道,所以个性与百姓较为接近,晚近为道教中相当重要的神仙代表,中国许多地方都有八仙宫,迎神赛会也...

网站改版优化怎么做(一个案例网站整体改版优

网站改版优化怎么做(一个案例网站整体改版优

如今许多公司的网站上线运营以及有几年,甚至有十年多,为了适应市场环境的变化,公司也需要网站改版去适应市场,让更多用户对网站的体验有提升,那么对于有些公司对于网站改版会或多或少的有着担心,但是网站改...

面试官告诉你:产品经理面试需要注意什么?

面试官告诉你:产品经理面试需要注意什么?

本文从口试官的视角,分享了校招口试需要留意的几个重点,适合最近筹备口试的同学和口试官,也但愿可以或许给你带来必然的开导。 写在前面 上周,我大部门精神都投入到了产物司理管培生的雇用事情:每天两场,每...

有明老和尚(上可下明老和尚)

比丘:梵文bhikkhu,又作比呼。意译乞士、董士、破烦恼、除馑。满二十岁,受了具足戒的男子称作比丘(俗称和尚)。比丘需守二五六条戒律。 命犯桃花,招蜂引蝶。不是老婆发火,丈母娘闹。好好过日子吧。别胡...

俄专家:国际空间站“加法结合律开始散架” 或在2024年停用

  中新网10月7日电 据俄罗斯卫星网7日报道,近日,俄罗斯齐奥尔科夫斯基宇航科学院通讯院士安德烈·约宁表示,国际空间站表层已出现“小孔”,并“开始散架”,或将在2024年停止使用。 资料图:国...

黑客教你定位微信地址 手机号定位微信具体位置

手机号定位微信具体位置,定位是最好的对一个进行位置确认的方式。现在移动手机的使用,我们的手机功能也开始变得更加的多样,但是如何才能详细的定位到微信的地址呢,以下几种简单的微信定位地址的方法你可得知道呀...