看我如何利用社会工程学+XSS组合拳击碎骗子的心肝脏脾！

• 2020 年 3 月 6 日
• 筆記

文章敏感信息已打码 文章仅供娱乐，请勿模仿，一切模仿导致的后果与公众号无关 文章首发地址：山丘安全攻防实验室 文章原创作者：陈殷，欢迎转载，转载请注明出处~ 记得看完加关注哦，定期更新干货~

1

一份消失的订单

当时我还在公司那边正准备着PPT

手机一阵震动

一个妹子（后面简称：J）发消息告诉我她被骗了

大概情况就是

J在小红书加了一个所谓的微商

买了一双鞋，付了500之后被微商删了。

（来自J和我的对话截图）

因为身在安全圈

经常有被bc骗钱的、刷z被骗钱的人找我帮忙

所以对这些事件比较熟悉

立案本身就有些复杂

况且这种情况相关部门80%都是追不回来

所以打算自己搞一波

不过当时有些忙

便把这件事扔在了脑后

2

挖不到洞的愤怒

当天晚上，我在测一家厂商的逻辑漏洞

然而

我完美的展示了什么叫做菜的抠脚

一个漏洞还没挖到……

（J的姐姐不小心和他妈说漏了嘴，J在被她妈怒骂ing）

QQ提示音再次响起

我意识到上次答应别人的东西还没做

于是我关掉burp

打开百度脑图开始绘制这次行动方案……

3

第一波信息搜集

前文有提到小红书，我让J给我推了微信号

因为他之前的微信被封了

所以我加了她的男朋友的微信（据我判断是一个人）

我加的时候验证消息是“小红书看见的，我要买东西~”

顺着他的职业

我打着买洗面奶的名义开始了聊天

到这里，已经成功加了好友

并且建立了革命友谊

为下面的深入做好了关键一步

4

第二波信息搜集

这里我利用了一个微信的内置功能

转账功能可以查看姓名最后一个字

然后翻了一下他的朋友圈

发现了一个有趣的东西

这条发表时间是在去年八月

我还是抱着试试的心态记录下来了

我们拿到的信息仅有

姓名最后一位+手机号

5

利用已知信息进行社会工程学攻击

我首先在本地做了一个XSS 页面

其中XSS payloads也很简单

本来打算插入一段获取经纬度的JavaScript代码

但是那样会触发一些提醒

比如要求获取位置信息

可能会导致攻击失败

所以打消了这个念头

为了对方完全打开页面且出发xss payloads

我加了1行代码：

<script>alert('xx啸照片正在加载，点击确认进行查看……')</script>

为了后面url的诱惑性，我把文件命名为：photo.php

然后将页面放入我的服务器

url为：http://xxx.com/photo.php

然后将其发送给骗子

6

山雨欲来风满楼

这波操作是最有难度的

一方面要保证他会点开

一方面要伪装自己的身份

一方面还要有文字功底，直击对方恐惧的地方

说实话当时我也没底

刚发过去一分钟不到

邮箱提醒鱼儿上线了

打开xss平台查看数据

现在我们又拿到了他的user agent和ip地址

很多朋友可能会说会不会ua是伪造的

其实我们简单想一下

随便点开url的人

安全意识肯定不高

那么必定是个技术盲吧~

所以大胆的记录下这项信息吧~

7

技术实操

这里就开始考验运用自己所会的知识

进行打击

这里我先用了一个ip查询接口（暂不外放）

将其地址锁定到某条街某个门牌号

接着我将这个地址的gps图发了过去

并对其中的页面属性做了变更

将自己伪装成了广东的网警

然后接下来有些紧张

所以逻辑稍有不清晰

一连发了很多句

转账截图是J发给我的

我伪造了一个J报警的假象

应该是有点慌了

过了25分钟这个人才回复我

哈哈，这个我发的就有点扯淡了~

很多法律条文都是我自己创造的

他要看证件照

我便联系了一个网安朋友

说明情况

经过允许后发了证件照

8

安排

在我发含有xss payload url时

我让J给这个人发了几句话

大概就是说

退钱就撤销报警

然后J照做：

这个骗子看似很淡定

其实心里慌得一批

这边要收款码而不是直接转账

可以猜测他是找别人去借了

然后陆续

既然钱已经退了

我也就可以收尾了

然后收获了一个迷妹和迷妹妈的称赞

9

花落无声

追款有很多工作没有做好

导致有那么一会儿手忙脚乱

所幸的是

追款成功

我也松了一口气，吹了一下键盘上的灰，端起奶茶喝了一口

打开网易云

听着窗外雨声

又打开了BurpSuite……

怎么说呢

我一直就想

不要让技术蒙上灰

追款这种事

我曾经免费帮同学、邻居、朋友以及网友做过

也因此收获了不少肥宅快乐水

当然，我自己很菜

写这篇文章纯做记录

以及提供另类追款方式

大佬勿喷~

有其他疑惑欢迎留言交流讨论~