搜索
查看: 497|回复: 2

移花接木,如何利用第三方服务发动WEB攻击

[复制链接]

432

主题

573

帖子

2543

积分

核心成员

Rank: 8Rank: 8

积分
2543
发表于 2013-11-11 16:32:44 | 显示全部楼层 |阅读模式

继《走近科学:如何利用Google机器人进行sql攻击》后,咱们来讨论讨论如何利用三方服务进行移花接木。

在很久之前,我们就在加速乐的离线日志中发现了来自谷歌爬虫攻击,事实上,不止谷歌爬虫,包括百度之类的也在内,如下图,是我们一个内部平台找到的一条来自百度爬虫的注入:

验证下这个IP:123.125.71.99:


​

除了百度、谷歌,还有其他。利用其他三方网站的服务去请求payload实际上是很容易的。例如,我还从加速乐日志里发现来自google reader等等。

来点实际的。比如,我可以用鲜果阅读的订阅去向我博客提交注入请求:http://lx.shellcodes.org/show.php?id=4 and 1=1

订阅这条带payload的地址后,我从博客的日志中就发现了攻击请求:

​

这个IP其实就是鲜果订阅的IP。

百度网盘也可以,新建个下载任务:

​

接着看日志:


像百度网盘这些提供了API服务的,是不是写点脚本批量攻击呢;还有一些服务可以看到请求后返回的HTTP状态的,是不是更精准知道攻击结果呢。。理论上可以绕过一些IP白名单,剩下的看官们自己发挥吧,我继续工作了。


您可以更新记录, 让好友们知道您在做什么...
专业回帖 该用户已被删除
发表于 2013-11-11 16:44:31 | 显示全部楼层
小手一抖,钱钱到手!
854955425 该用户已被删除
发表于 2013-11-11 17:25:11 | 显示全部楼层
学习了,谢谢分享、、、
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表