(3)受害者扫描二维码
(4)获取到session:
(5)登录受害者账号:
自行脑补下登录成功的样子吧。。为了脱敏。。。这篇文章仅仅讨论技术。
B网站登录处存在二维码劫持漏洞登录处:
二维码登录流程:
(1)获取二维码和 key
(2)轮询(很长一段时间不会过期)
(3)用户扫描二维码或点击登陆链接确认登录,轮询将返回openid
(4)登录
其中,获取链接和key的阶段。是没有做请求来源校验和csrf token的。意味着任何人任何地点都可以请求获取二维码和key:
请求链接:
/xxxx/getWxQrcode?xxx=xxxx(GET参数不重要)
接着轮询:
请求链接:
https://b.com/xxxx/checkWxQRState?QRkey=QRkey
这里的请求参数中的QRkey就是在上一步获取二维码和key时,获取的响应参数 QRkey。
此时需要用微信扫描二维码。本人分析了一下,发现二维码链接如下:
其中 /scan/后的字符串就是我们的QRkey。只不过这个链接必须在微信中打开。
微信打开后,轮询返回了一个openid,这个openid应该是绑定这微信的,同一个微信号返回的openid都是一样的:
(偶然发现,如果微信没有自己去改微信号,就是openid的值哦)
获取到openid后,openid和QRkey构造一下链接。如果微信绑定了账号的,即可登录。
登录链接:
根据此流程,可构造钓鱼页面。
攻击流程:
(1)开启php相关环境,使受害者能够访问test.php;运行python脚本(attack.py),开始轮询。
(2)受害者访问恶意页面(test.php),用微信扫描二维码,然后点击b网站那里的登录确认 或者将链接直接微信发给受害者,受害者微信处点开
(3)此时attack.py中获取到openid,组合成登录链接。攻击者可使用登录链接登录受害者账号
使用php和python来写:
钓鱼页面: