某钓鱼网页试分析

Re:Linked

(以下相关地址为了防止误点击,均将协议改为 hxxp。)

源:hxxp://suo.im/4CHBQJ

一次跳转+页面生成

这个短网址 301 跳转到了 Link 1

这块大概是一个比较常见的跳转利用。

遂 curl 之。后一部分是被注释的一段JSON,什么“贪玩蓝月”什么的。前一段是 <scripT/src=//huosaiji.cn/c/app></scripT>

遂再 curl 之。这个 js 的作用是生成一个网页。网页似乎用了 RC4 加密外加 base64 编码。解密和解码的函数名字很清楚(没做混淆和压缩什么的哈)。

二次页面生成

书接上回。上回我们说过有一个生成网页(document.write(decodeURIComponent(...)))的 js。这个生成的网页,又是一个document.write(decodeURIComponent(...)),郁闷。

没办法,再来一次吧。这回生成的是一个正经的钓鱼页面了。源码见此

简单分析一下,大概表单内容会提交到这里

提交成功或失败之后会跳转,然后返回一张有趣的图片

第二分支?

又试了一次。好像这个生成的第二个网页,还有另一种情况:会获取hxxp://huosaiji.cn/c/sb.php

之后似乎又是一个仿登录页面什么的…不过这个页面会检查 User-Agent,让 Windows 和 Mac 跳转走。

总结

最近频繁地看到用户账号被盗。其实昨天还看到了一个,但是那个几乎没什么套路,略过不谈。(不过说一下,那个页面托管在腾讯云23333)

不要随意在网页中输入账号和密码!

不要随意在网页中输入账号和密码!

不要随意在网页中输入账号和密码!