记一次XSS闲鱼诈骗网站到主机上线再到信息收集的过程

admin

前言

距离上次搞闲鱼诈骗网站已经过去20多天了。这20多天里，搞了很多的钓鱼站，类似什么黑咖的（已经下载到全站源码了，不过不会审计，有兴趣的大佬可以邮件联系我获取。），不过搞这些钓鱼站根本没用，相关部门也没进行管理。骗子们依然逍遥法外，所以最近依然在搞钓鱼网站，然后今天有了一些发现。就写下这篇文章，写的很乱。也是记录一下。希望能够提高大家的警惕性。

目标：也是从闲鱼APP上获取到的链接

XSS注入钓鱼

详细过程就不说了，可以去看我上篇文章。不过这次的xss注入里加入了flash弹窗钓鱼。效果如下:点这里查看详细过程

1

一个简单的xss弹窗跳转代码：

alert("您的FLASH版本过低,尝试升级后访问该页面!");

window.location.href="填你的flash页面";

flash钓鱼

钓鱼页面：

2

当然这个页面是我们自己伪造的，下载的文件是利用自解压程序捆绑了木马的（捆绑教程等下写），也是可以正常安装flash的。

等待主机上线

插入xss后，就耐心的等待骗子上线。但是有点警惕性的应该都不会上当的啦，不过运气不错，我们这个骗子好像警惕性有点低。，哈哈哈。稍微等待了一会后，xss平台返回了一个管理员的cookie，然后再查看远控，主机已经成功上线！然后在xss平台里把弹窗代码取消掉。

xss返回如下：

3

主机上线：（进行相关取证）

4

骗子桌面QQ截图：

（进行相关录屏录音取证，有兴趣的朋友可以找我获取）

然后该骗子的电脑里没什么有用的信息，就一堆QQ号。。然后决定从诈骗网站中获取更多信息。

信息收集

网站后台：http://xxx.cn/Surplus.php   (扫描出来的)

利用之前xss返回来的cookie进行登录。

利用burp修改cookie进行登录，成功进入后台。

5

进入后台后发现不是管理员权限？？，原来是一个小弟？

得想办法搞到管理员权限。然后通过查看cookie，发现可能存在越权访问。

利用修改后的cookie进行登录，运气不错，成功用管理员权限进入后台！哈哈哈。

查看管理员密码:发现管理员密码貌似是一个QQ号？？？QQ是：243XXXXXXX

哈哈哈，有了QQ号就好办了。然后通过百度查询他QQ号的相关信息。

贴吧账号：

还有微信什么的就不发出来了。希望大佬们能出手，让这些骗子去吃过年牢饭吧，哈哈哈。，写的比较乱，目前证据也挺乱的，有这个骗子用过的QQ等，还有骗子骗人的过程录屏以及录音（摄像头打开黑屏~~）。但是还是无从下手的感觉，我太菜了。奥利给！