又一钓鱼经典案列分析

2013-05-10 153042人围观 ,发现 16 个不明物体 WEB安全

0×01 缘起

  偶然的情况下,拿到了这个Sample.自古以来,各种刷XXX已经成为了X客们的代名词,而贪小便宜的巨大诱惑又往往成为钓鱼成功实施的温润土壤.纵观刷XXX史,从最低端的纯发帖内部号充值,到各类刷XXX的WEB钓鱼站,再到各种客户端形式的刷XXX工具,层出不穷,虽然在某种程度上,这些个破玩意儿看起来都很低劣,但不得不佩服钓鱼者,他们猥琐的思路确实是值得借鉴的.(Laugh~)

0×02 一睹芳容

我坚信好的UI和具有煽动性的语言,一定能提高被钓鱼者的用户体验,顺便附带的还有一个演示,教你如何使用,这不得不说是一件非常贴心的举动.从介绍来看,说的很明白,可以方便的将100软妹B通过刷XXX编程300大QB到你账户中,这真是太牛x了~ 于是操起了我的Vbox + 某HIPS的行为套装看看跑起来时,还没有其他猥琐的行为.

0×03 庐山真面目

一般来说这种刷XXX的工具,通常都会同时带着猥琐的功能,比如盗号,而实现方式可能有多种多样,这里从界面看只要求输入号码,可以基本排除钓鱼方式的.也有可能是各种钩子,粘虫记录一类的猥琐方法.跑了一阵之后看到了几个行为.

GET captcha.qq.com/getimage/paycenterqqcard?aid=25000101&%22+Math.random()+%22
GET www.xxxxxxxx.com/get.html

其余就是创建些互斥(也不写马,防止多次运行为嘛?)

Reg操作某键值干掉了IE代理(为了防代理截包?)

其余的没有神马了…

0×04 亲身体验

其实本来就知道是钓鱼的了,不过还想挖些背后的东西,可以从刷XXX工具开启的站点入手反向追踪幕后黑手,也可以逆下Bin整个流程也就了然了.这里用了比较简单而原始的方式,因为是非对抗的,对付这种刷XXX工具已经足矣.

随便输入了充值卡号和某大牛的QQ.然后抓下HTTP包看它如何走.

具体包如下

POST /web/szxqb/index.jsp?action=dopay HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Referer: http://mpay.qq.com/web/szxqb/index.jsp?action=dopay
Accept-Language: zh-cn
Content-Type: application/x-www-form-urlencoded
Content-Length: 145
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Host: mpay.qq.com
Cache-Control: no-cache
Cookie: paycenterqqcard=h00a2745d50e197d613cede3ac1a00bb6613f8ad47d4ccaa22c59be35eaa2d4d2d8a0ea865397d8e15a


appId=1&amount=100&buyer=54411363&buyerre=54411363&app=1&payer=12629014288321414&paywd=013140088955300238&verifycode=gbtc&submit.x=64&submit.y=27

另外两个Response包就不贴了.

很显然.刷QB的充值卡的软妹B没有到某大牛的QQ上(对比图)

0×05 结语

当然黑产界,各种钓鱼各种平台是非常多的,感叹于他们善于抓住人性的弱点,在某些情况下,这比0day要强很多倍.另外,如果触及到某位大牛的利益还请PM我. Just 4 fun.

这些评论亮了

  • solid 回复
    这就是个wireshark抓包就看到了,啥技术含量都没啊 前面写的都是废P啊
    )9( 亮了
发表评论

已有 16 条评论

取消
Loading...
css.php