某钓鱼网页试分析
本文距离上次更新已经超过 900 天。因此,其中的信息可能已经过时。
(以下相关地址为了防止误点击,均将协议改为 hxxp。)
源:hxxp://suo.im/4CHBQJ
一次跳转+页面生成
这个短网址 301 跳转到了 Link 1
这块大概是一个比较常见的跳转利用。
遂 curl 之。后一部分是被注释的一段JSON,什么“贪玩蓝月”什么的。前一段是 <scripT/src=//huosaiji.cn/c/app></scripT>
。
遂再 curl 之。这个 js 的作用是生成一个网页。网页似乎用了 RC4 加密外加 base64 编码。解密和解码的函数名字很清楚(没做混淆和压缩什么的哈)。
二次页面生成
书接上回。上回我们说过有一个生成网页(document.write(decodeURIComponent(...))
)的 js。这个生成的网页,又是一个document.write(decodeURIComponent(...))
,郁闷。
没办法,再来一次吧。这回生成的是一个正经的钓鱼页面了。源码见此。
简单分析一下,大概表单内容会提交到这里。
第二分支?
又试了一次。好像这个生成的第二个网页,还有另一种情况:会获取hxxp://huosaiji.cn/c/sb.php
。
之后似乎又是一个仿登录页面什么的...不过这个页面会检查 User-Agent,让 Windows 和 Mac 跳转走。
总结
最近频繁地看到用户账号被盗。其实昨天还看到了一个,但是那个几乎没什么套路,略过不谈。(不过说一下,那个页面托管在腾讯云23333)
不要随意在网页中输入账号和密码!
不要随意在网页中输入账号和密码!
不要随意在网页中输入账号和密码!