XSS挖出一个黑产团体

2013-3-25 9:38:28 补充：

“XSS挖出一个黑产团体”后续

erevus | 2013-03-25 09:17

关于这个站 我让JC朋友备案了

有拿下该站的哥们请马上去清除下脚印，别躺枪了（我发这帖子后，邮箱都快被你们来的cookies挤爆了）

---

本帖初衷是想弄个原创换一个法克论坛的邀请码，一不小心就X出个黑产团体。这伙人还很没技术含量

今天基友收到一封垃圾邮件，发到群上求搞

打开钓鱼网站，然后根据他给的步骤一步一步点下去。。。

http://zhongguohsyh.com/txzl.asp

终于要骗我了吗 要我写个人信息了…好 送你一段xss

然后等….等了10分钟，pia的一声，cookies到了

根据数据库来看 很多人被骗了呢…

不过这应该不是后台…（不过仔细观察这个地址，这应该是个手机号哦…）根据归属地查询，是海南海口的，然后查了一下whois信息

骗子的QQ也出来了…

样子还很猥琐 （诈骗集团老大都长这样？）

拿工具扫出真正后台http://zhongguohsyh.com/adminindex.asp

用刚才获得的cookies登陆，登陆成功

然后 嘿嘿

=======================华丽的分割线=============

本来我就是为了换法克论坛邀请码临时搞得一个站

但是基友随后发来好多这种站，用的都是同一个cms，IP都是海南

看来是同一个诈骗集团啊

url:http://zhongguomxx3.com/13518036579.asp

cookie:ASPSESSIONIDAATSQRBC=DBFLJHOCCCMLIBMNNFCAAIAP; adminid=qqtest; cck_lasttime=1364003960359; cck_count=0; ASPSESSIONIDAARQTQBC=JBMLKPOCPJECKKILGPNJENIN; ASPSESSIONIDACTTSRAD=DFNFJHPCKNFHFOOBDPBFMLMA; ASPSESSIONIDACRQRQAD=JDPPBPPCHFDEPLNJMNDCOCFA; ASPSESSIONIDCASQSRAD=IDADLGADDMGECAEBAODNKBBD; ASPSESSIONIDCASSTRBD=AJFHNOADPDCGDDMCDDJEIELA; ASPSESSIONIDCASTRRBD=KPBOKHBDGCCILALPIFAGJGFO; ASPSESSIONIDACSQTRAC=CLDBMPBDOEINOALPDPGMEFFE

url:http://zhongguohsyh.com/13518036579.asp

cookie:ASPSESSIONIDCCRTTRBD=GIPLNMNCONKFAHINLDMOFHCL; adminid=qqtest; cck_lasttime=1364000700265; cck_count=0; ASPSESSIONIDCATTSRAD=AJNFAEOCEJOCEEBJBLOLNBAM; ASPSESSIONIDAARTSRAD=CDNNELOCKNNJLFIIDFKMPMGE; ASPSESSIONIDCATRRQBD=KAKLKPOCBENEHEHODMFCJCPK

url:http://cvnh3.com/long.asp

cookie:ASPSESSIONIDQQCRTTCQ=NKJCMDHCLDAKLNCGNBLMOBJD

乌云吐槽：

1#

风萧萧 (hi) | 2013-03-23 22:04

good job!

2#

erevus | 2013-03-23 22:07

我知道wooyun有JC叔叔 我把骗子信息都给你肉出来了 直接跨省吧

上当的人太多了 加起来都有2000人了

3#

px1624 | 2013-03-23 22:15

洞主你的容颜貌似也暴漏了额。。

4#

zsx (?? ?捣乱不犯法) | 2013-03-23 22:24

以前玩钓鱼网站时没想到用XSS来玩，长知识了。以前我都是直接POST几万条数据进去撑爆他的Access的

5#

erevus | 2013-03-23 22:26

@px1624 那个不是我 是骗子的表哥。。。在他QQ空间找的

6#

circus | 2013-03-23 22:50

good job！！！

7#

八云幽紫 | 2013-03-23 22:59

GOOD JOB!!

8#

px1624 | 2013-03-23 23:36

@erevus 额、、长得蛮像的，话说你多大

9#

erevus | 2013-03-23 23:39

@px1624 19

10#

wszf | 2013-03-24 00:17

pz好猥琐啊

11#

陈再胜 (http://t.qq.com/mibboy求收听) | 2013-03-24 00:41

有PS的痕迹·

12#

天星宿命 | 2013-03-24 01:58

JC叔叔~~~~~~~

13#

erevus | 2013-03-24 07:58

@陈再胜 绝对没有 不信你按照地址试一次

14#

gainover (">_< ' / & \ 看啥，没见过跨站字符么) | 2013-03-24 08:47

基本都是海南的，我之前也像你这么X过。

15#

safe121 (http://www.safe121.com .. 渗透朝鲜内网是我的梦想......) | 2013-03-24 08:53

@核攻击 求科普，这种资料能用来干什么？？感觉没什么可以利用的

16#

safe121 (http://www.safe121.com .. 渗透朝鲜内网是我的梦想......) | 2013-03-24 09:05

17#

safe121 (http://www.safe121.com .. 渗透朝鲜内网是我的梦想......) | 2013-03-24 09:09

公司地址： 浙江省杭州市莫干山路112号

联 系 人： 王大伟

联系电话： 0086-1308608-1974，4ooo-312→566

电子邮件： 519027519@qq.com

18#

心伤的裤子 (心伤的,,裤子,,的伤心) | 2013-03-24 10:22

警告:您输入的验证码属于非法,您的IP已被记录传送网监科如您再试图冒充中奖用户，我们将对您IP进行跟踪同时对其追究刑事责任！....

19#

心伤的裤子 (心伤的,,裤子,,的伤心) | 2013-03-24 10:25

329074295大黑阔的qq啊~~

20#

齐迹 | 2013-03-24 10:43

LZ应该果断点击 “全部删除”

21#

erevus | 2013-03-24 10:50

@齐迹 已经点了

22#

erevus | 2013-03-24 11:01

@核攻击 求科普 能直接插一句话么

23#

陈再胜 (http://t.qq.com/mibboy求收听) | 2013-03-24 11:13

@erevus 我说人的照片···

24#

CHForce (带马师) | 2013-03-24 12:09

good job 学习中。。。。。 PS，那个人的照片太像 八两金了

25#

Yaseng (www.yaseng.me) | 2013-03-24 12:48

@CHForce   尼玛  还真的有点像

@erevus   以前还用xss x过shell箱子来着

26#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-03-24 14:44

@safe121 资料很全啊，咋能没用。。

推测利用的用途很多啊……

伪个假身份证，然后去银行……

27#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-03-24 14:46

g jb!

摘自：http://zone.wooyun.org/content/3023

留言评论（旧系统）：