登陆 注册

利用url跳转漏洞冒充公安局官网的骚操作

hankerboy 2020-01-10 安全文摘


刚刚发现了一个漏洞素材,在这里和大家分享一下漏洞以及被利用的用途,这个漏洞乍一看风险不大,实际上被有心人利用起来,非常的可怕,毕竟很少有人会怀疑警察叔叔。

那么今天我们来认识一下猪脚,那就是URL定向漏洞。

让我们先来看看这段php代码

<?php

$url=$_GET['md'];

header("Location: $url");

 

?>

在实际应用场景中,如果md没有任何限制,那么恶意用户可以提交:

http://www.taobao.com/login.php?dm=http://www.baidu.com来生成自己的恶意链接,对安全意识较低的普通用户很可能会以为该链接的是从而可能产生欺诈行为;

同时由于QQ,淘宝旺旺等在线IM都是基于URL的过滤,所以对一些站点会以白名单的方式放过甄别,导致恶意URL在IM里可以传播,从而产生危害,譬如这里IM会认为www.taobao.com都是可信的,但是通过在IM里点击链接将导致用户最终访问baidu.com。

那么这个时候肯定有人会问,这个卵东西有什么卵用。我,,,,,


我得拿出这个URL跳转漏洞来实际演示一下了,首先来看看这个存在url跳转漏洞公安局站点。


验证漏洞,因为他要跳转,所以我们在微信上构造链接访问,用手机截图,对网站还是打码。以防被贱人利用。


我们在访问试试看。


可以看到,在微信访问,URL跳转到淘宝去了,而在QQ上,则可以直接访问到淘宝。在微信上访问需要浏览器打开,那么大家都知道,一些不良网站的域名会显示危险报红,例如一些男同胞爱访问的网站.....

当然你们别想歪了,我是指英雄联盟阿卡丽商店1折买皮肤的官网入口,不知道你们想的啥。


就比如这个英雄联盟的钓鱼网站,坚决不打码。他是这样的,,,,,,,


那么。我们现在利用URL跳转,定向到这个网站试试。


也就是链接:http://xxx.gov.cn/login/xx.php?md=http://lol-qq.cc/

因为已经被红名处理,所以跳转都会被拦截。我们都知道,他是按域名拦截的,那漏洞就来了。我们换个域名,是不是就可以访问了呢?要是这个漏洞出现在QQ的二级或者三级域名当中被人利用进行跳转呢?


由此,漏洞利用就出现了,首先,我们要明白,诈骗靠的是什么?目前最流行的电信诈骗其中一种套路,就是公检法诈骗,实际上就是利用人们畏惧法律来实施诈骗。例如。。


那么既然公安局的官方网站存在漏洞,诈骗团伙利用该漏洞在仿制一个同样的假网站,假网站域名更改为www.xxx-gov.com,记住看域名。是 -gov,而不是.gov。


另外,有人说链接后面显示的真实链接这个诟病,只要不是瞎子都能看出来,单实际上,除了域名伪装,也可以通过短网址进行伪装后缀。


或者用更骚的URL编码来进行伪装:


如果说之前访问:

http://www.xxx.gov.cn/xx.php?md=taobao.com容易被看出来的话。

那么现在就变成了:

http://www.xxx.gov.cn/%6c%6f%67%69%6e/%78%78%2e%70%68%70?%6d%64=%68%74%74%70://%74%61%6f%62%61%6f%2e%63%6f%6d

当然,在这里,我把后面的链接都进行了编码,而实际上,可以只把网址编码即可,看实际场景,但是我希望,这个场景你们不要用上。做个好人吧。


因为时间关系,我就本地搭建了一个127.0.0.1/1.html老模拟跳转公检法诈骗伪造的假网站以后的界面。



当然实际上的网站比这个逼真,有了这一系列的操作之后,我们就能知道,通过电话上当的人都这么多,那么,如果有了真正的公安局网站做了一层伪装,那后果....先来看看诈骗团伙的诈骗步骤。


那么如果有此漏洞以后呢?首先,他就不会随机的拨打电话,而是通过网络渠道购买指定地区的公民信息,通过短信等渠道进行传播,然后制作假的通缉令,逮捕令,不要说你不信,一张逮捕令上面写着你的名字,籍贯,地址,或许还能出现照片,下面盖着红色的某某县市检察院公安局的章,就问你慌不慌?


你当然慌了,第一个肯定是觉得自己冤枉,人在慌张中的一切行为,都很容易丧失冷静,被诈骗犯连吓带哄的你自己就乖乖的让你做什么就做什么了。


那么在实际的应用场景中,逼真肯定是诈骗的首要场景,做的跟真的一样,傻傻的分不清真的假的,所以诈骗犯连逮捕令都敢伪造。


那么我们还可以干什么呢?其实如果有管理员的邮箱,我们还可以利用跳转漏洞试试对管理员进行钓鱼等等操作。

当然了,肯定会有人说,我在传播犯罪手段,实际上,利用这种漏洞进行钓鱼,诈骗从很久以前就开始了,讲出这个案例和操作,也是因为骗子已经在利用这种方式实施诈骗,希望各位了解这个东西,另外,你也得挖掘到这个漏洞才有办法实施,这年头,诈骗也不容易。


就在上个星期,接到个电话,骗子一开口就喊我兄弟,我还在纳闷他是谁,他说我是逍遥啊,上次和你一起玩游戏的,我还觉得是认识的, 毕竟我玩英雄联盟,于是问他玩的啥游戏,他说了句传奇,,,,,,,,,,,我,,,我说兄弟,你那个团伙的,我根本就不玩传奇,他就挂了,,,,,,


由此在这里告诫大家一句,骗子的套路层出不穷,在网上,陌生的邮件,来历不明的链接少点,不要忘记了前几年被腾讯xss支配的恐惧,好了。我先把这个漏洞提交上去就完事儿。

最后就是,希望凡是我发给大家QQ的链接,希望大家都不要点,因为,,,

640.png

你们懂我意思吧?

文由黑子的自我拯救

请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.