最近黑產利用騰訊郵箱的漏洞組合,開始頻繁的針對騰訊用戶實施攻擊。
其利用的頁面都起名為godlike.html,所以我們把這起攻擊事件命名為godlike。
主要被利用的漏洞有3個, 一個 URL 跳轉, 一個 CSRF, 另外一個就是 XSS
早上的時候被同學叫起來看一個鏈接
第一眼看到這個以為是張圖片, 欺騙性很高, 不過因為當時嫌麻煩沒有點進去
后來在電腦上發現是一個鏈接而不是圖片才感到有問題, 這里的鍋主要是騰訊的一個 URL 跳轉了.
這里的這個 URL 跳轉很猥瑣
http://jump.qt.qq.com/php/jump/check_url/?url=http://www.qmaild.xyz
可以看到被指向的 url 是 www.qmaild.xyz。
而這個 www.qmaild.xyz 把 title 設置成了這樣
所以在手機里會有產生極為類似 img 文件的效果, 如果加上類似 『這個妹子好正』,之類的相信上鉤的幾率會更加高, 附一張手機 QQ 發送正常圖片的截圖
跳轉到 www.qmaild.xyz 這個 URL 之后直接 iframe 了 godlike.html ( 我猜是個玩 lol 的放縱 boy, 具體代碼可以看下面
沒什么好說的, 巴拉巴拉就到了下面
由 form 表單跳轉到的企業郵箱頁面如下, 加載了 qzoneon.com 這個 URL 下的一段 js
哎呀, 頁面變成這樣了, 好糟糕, 看下html代碼, 有奇怪的 script 進來了, 這段加載的 js 就是偷取 cookie 發送到攻擊者的服務器上。
恩, 果不其然, orz, 如果不是同學提前跟我說估計我也上鉤了, 以后民那桑打開 QQ 里的東西還是小心點為好 = =
因知乎上已經出現了詳細的漏洞分析:https://www.zhihu.com/question/39019943,故公開此文章。
