挖掘犯罪链条中的URL跳转
0x01 前言
2023年5月,接到朋友求助,他的母亲被诈骗5万元,诈骗人使用的是他哥哥的微信号,找到我寻求帮助。
经过研判,对方盗取了被害人亲戚的微信号,以老套的诈骗方式“是我是我诈骗”进行作案。
0x02 骗局分析
利用钓鱼链接,让被害人帮忙微信投票,在投票时提示需要登入微信,需要微信的账号密码以及验证码
在盗取微信号后,伪装成本人向亲朋好友借钱
0x03 挖掘犯罪链条中的URL跳转
在拿到盗号的二维码后第一时间对URL进行分析,套路其实很老套,就是我上面说的那些,在挖掘过程中,犯罪链条中的一环跳转了某个大厂的URL
犯罪链条经过了一层某大厂URL跳转,使得诈骗网站可以逃过QQ/微信等聊天工具的URL检测,成功混进了白名单,没有提示危险
若跳转的链接非白名单URL,则出现拦截,显示是否确认跳转,如下图:
若链接是白名单,则直接跳转
0x04 URL跳转绕过
综上所述,如果非白名单就会出现拦截 如 http://127.0.0.1/?url=http://xxx.cn
尝试白名单,已知该厂商的白名单有 baidu.com qq.com等
白名单成功跳转,无任何提示直接跳转
0x05 犯罪链条中的利用
已知 http://127.0.0.1/?url=http://baidu.com是直接跳转的白名单
绕过 http://127.0.0.1/?url=http://baidu.commxxx.cn 利用二级域名绕过检测规则
绕过方法2 http://127.0.0.1/?url=http://baidu.com.xxxxx.cn
0x06 声明
案子已经过去几个月了,也已经结案了,但是该漏洞还是没有修复,为了避免扯皮,我全程使用厚码,只提供思路进行讨论。
本文章仅用于技术研究探讨,非法利用后果自负。
0x07 吐槽
本是公益,报告完整写出了几个绕过点,第一次给我忽略漏洞,第二次让我提供被骗的证据
当我提供了朋友立案的证据后,接受了该漏洞
本是公益,不为了一分一毫,花了时间精力去挖掘去写报告,换来的却是低危 1分 报告质量:差
毫无疑问,这给”差“是给我的,像一巴掌一样拍在我脸上。
对得起我吗?某大厂
关于作者
评论46次
单纯的url跳转,国内很多src貌似都不收
不是很'正常吗?在圈子里很多搞这种防红的各种方式,都形成产业链了,
给你审核通过都是给面子了这种只要还有传媒资本存在就不可能补上并非都是犯罪用途
能通过可能还是因为立案有了证据才给你过的了,,,给质量差纯粹就是恶心人。。。
学xi通也有类似的漏洞
url跳转 v你5块 不能再多了
确实,url跳转能给你通过都不错了,一般都是忽略罢了
open redirect确实是低分低档、国内现状
低分低档其实无所谓,因为这就搞公益,那个报告质量给我评了个差 我是绷不住
哈哈哈哈哈,xi惯就好,之前我交洞还给我评成情报方便降级呢,
类似的链接挺多的,很多年前就有人利用了
能通过可能还是因为立案有了证据才给你过的了,,,给质量差纯粹就是恶心人。。。
我以为是研究怎么搞这种网站的。。。
报告质量给 差 ,太扎心了。一般直接提个 src 会给几十块钱吧,不过 url跳转的问题 在某些能造成 账号接管 的漏洞场景中挺重要的。
现在知道微信密码就能直接登吗? 不是还要验证码和朋友辅助才行吗?是怎么绕过直接登上去的。
我用模拟器登录就不用验证,跟微信版本有关xi
你意思是低版本的微信可能没有异地登录校验这些
单纯的url跳转,国内很多src貌似都不收
这种只能属于外部情报了吧,大佬。看看能不能上交主管单位
open redirect确实是低分低档、国内现状
低分低档其实无所谓,因为这就搞公益,那个报告质量给我评了个差 我是绷不住
现在知道微信密码就能直接登吗? 不是还要验证码和朋友辅助才行吗?是怎么绕过直接登上去的。
我用模拟器登录就不用验证,跟微信版本有关xi
真是缺德带冒烟
现在知道微信密码就能直接登吗? 不是还要验证码和朋友辅助才行吗?是怎么绕过直接登上去的。
国内挖src真的惨!我特么,提起来就来气。挖洞的真的是弱势群体!现在就挖一个平台了。朋友推了几个,什么cavd ,fadada真的越挖越气,准备过写日子研究一下哇国外的。真的受不了这个气。
open redirect确实是低分低档、国内现状
这种东西现在还在啊!简直搞子啊!
现在还有 真是无法无天了
之前还遇到过一种防红的形式不知道给我大佬有没有遇到过,我只是代表个人见解可能观点有错误,你去访问一个xxx.com/xXXX(这个域名是各种正规备案,反正就是不会红的),然后他应该类似cdn那种,现将违法网站源缓存到服务器,然后通过不红域名反馈给用户,但是当中页面是内嵌(不知道为啥这个词用的准确吗?)