昨晚我们团队捕获到一路高级垂钓报复打击，告急响应后，对背后的团队手艺运作能力暗示赏识：终究不是老套的、土得要死的编制。此次还真唤起我心中的阿谁魔鬼，有趣，如许才有趣...

　　等黑产(非其他团队)用如许的编制已等了好久好久，当然还不敷高超，但已有进步了!按照伟大年夜的统计学，互联网上展天盖地的报复打击，能正巧被我们发现的概率不高，此次既然发现了，可以推出操纵这一报复打击手法估计早几个月已在实施，而预备好这套打算，估计时候上会更久。

　　开端进进重点：

　　在拍拍上和卖家交换后，卖家发来这条动静：

　　亲，亲反应的售后办事标题问题，我们给亲退款58元作为优惠，亲填写下退款信息：http://mcs.paipai.com/RWsiZVpoe

　　亮点1

　　被拐骗拜候上面这个链接后，会302跳转到：

　　http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9

　　这里面是一个存储型XSS，这个XSS不错在于，报复打击者经由过程点窜本身QQ昵称后，昵称被拍拍读取并没恰当的过滤就揭示出来了，导致存储型XSS。以下图：

　　上面这个链接的代码以下：

　　var msgContent = [false,false,1,false,'2351926008: ',' ','0000000000','2012-11-11','04:57:25','店东答复','00000','2012-11-11','04:59:25',''];

　　showLeaveMsg(msgContent, 1);

　　寄望红色标注的位置。

　　亮点2

　　上面红色标注的位置，阿谁js链接是短网址，这个手法已习觉得常了，短网址利于利诱，同时内容短，对一些数据提交限制长度的功能来讲，这是一个好编制。

　　亮点3

　　打开这个短网址，跳转到了以下链接：

　　http://my.tuzihost.com/qq2.js

　　这个链接里会生成一个拍拍真的页面，同时起码履行了以下脚本：

　　document.writeln("");

　　这个脚本很***，就是专门盗取Cookie的。本年315后，熟谙Cookie的同窗已良多了，拍拍的Cookie比较脆弱，被盗取就意味着身份权限被盗。

　　在qq2.js这个文件里，报复打击者较着是做了足够的研究，包含提取关头Cookie字段，经由过程代码里的陈迹与气焰，估计可以推出是谁写的:)

　　亮点4

　　qq2.js地点的my.tuzihost.com首页做了假装，让人觉得是一个正规的导航站。

　　亮点5

　　my.tuzihost.com存在列目次缝隙，经由过程这个我查看了报复打击者写的其他代码，可以看出专心了……

　　经由过程周边的一些信息揣度：

　　1，报复打击者汇集到的Cookie应当是存进了MySQL数据库;

　　2，应当有个后台能显示这些Cookie信息;

　　3，有邮件通知功能(或许还用作其他);

　　4，报复打击者(或说团队更合适)不长于隐躲，或许他们分工真的明白，写操纵代码的人不必然介入了报复打击，不然不太可能犯下一些较着的弊端;

　　结束

　　我们已第一时候将这个报复打击反馈给腾讯安然中间，我发现他们已修复了缝隙，效力真高。

　　此次报复打击实际上还不高级，不外很是有效，垂钓钓的不是暗码，而是关头Cookie，足矣秒杀拍拍了。我曾科普过《关于社交收集里的高级垂钓报复打击》，大年夜家可以查看微信的汗青动静，看看这篇文章。

　　此次报复打击在黑产中应用值得引发业界的警戒，实际上过往几年，如许的报复打击我碰见过几起，不外没证据表白是黑产在应用，根基都是：just for joke。

　　你，终究要来了?