看我如何利用社會工程學+XSS組合拳擊碎騙子的心肝臟脾！

• 2020 年 3 月 6 日
• 筆記

文章敏感資訊已打碼 文章僅供娛樂，請勿模仿，一切模仿導致的後果與公眾號無關 文章首發地址：山丘安全攻防實驗室 文章原創作者：陳殷，歡迎轉載，轉載請註明出處~ 記得看完加關注哦，定期更新乾貨~

1

一份消失的訂單

當時我還在公司那邊正準備著PPT

手機一陣震動

一個妹子（後面簡稱：J）發消息告訴我她被騙了

大概情況就是

J在小紅書加了一個所謂的微商

買了一雙鞋，付了500之後被微商刪了。

（來自J和我的對話截圖）

因為身在安全圈

經常有被bc騙錢的、刷z被騙錢的人找我幫忙

所以對這些事件比較熟悉

立案本身就有些複雜

況且這種情況相關部門80%都是追不回來

所以打算自己搞一波

不過當時有些忙

便把這件事扔在了腦後

2

挖不到洞的憤怒

當天晚上，我在測一家廠商的邏輯漏洞

然而

我完美的展示了什麼叫做菜的摳腳

一個漏洞還沒挖到……

（J的姐姐不小心和他媽說漏了嘴，J在被她媽怒罵ing）

QQ提示音再次響起

我意識到上次答應別人的東西還沒做

於是我關掉burp

打開百度腦圖開始繪製這次行動方案……

3

第一波資訊搜集

前文有提到小紅書，我讓J給我推了微訊號

因為他之前的微信被封了

所以我加了她的男朋友的微信（據我判斷是一個人）

我加的時候驗證消息是「小紅書看見的，我要買東西~」

順著他的職業

我打著買洗面奶的名義開始了聊天

到這裡，已經成功加了好友

並且建立了革命友誼

為下面的深入做好了關鍵一步

4

第二波資訊搜集

這裡我利用了一個微信的內置功能

轉賬功能可以查看姓名最後一個字

然後翻了一下他的朋友圈

發現了一個有趣的東西

這條發表時間是在去年八月

我還是抱著試試的心態記錄下來了

我們拿到的資訊僅有

姓名最後一位+手機號

5

利用已知資訊進行社會工程學攻擊

我首先在本地做了一個XSS 頁面

其中XSS payloads也很簡單

本來打算插入一段獲取經緯度的JavaScript程式碼

但是那樣會觸發一些提醒

比如要求獲取位置資訊

可能會導致攻擊失敗

所以打消了這個念頭

為了對方完全打開頁面且出發xss payloads

我加了1行程式碼：

<script>alert('xx嘯照片正在載入，點擊確認進行查看……')</script>

為了後面url的誘惑性，我把文件命名為：photo.php

然後將頁面放入我的伺服器

url為：http://xxx.com/photo.php

然後將其發送給騙子

6

山雨欲來風滿樓

這波操作是最有難度的

一方面要保證他會點開

一方面要偽裝自己的身份

一方面還要有文字功底，直擊對方恐懼的地方

說實話當時我也沒底

剛發過去一分鐘不到

郵箱提醒魚兒上線了

打開xss平台查看數據

現在我們又拿到了他的user agent和ip地址

很多朋友可能會說會不會ua是偽造的

其實我們簡單想一下

隨便點開url的人

安全意識肯定不高

那麼必定是個技術盲吧~

所以大膽的記錄下這項資訊吧~

7

技術實操

這裡就開始考驗運用自己所會的知識

進行打擊

這裡我先用了一個ip查詢介面（暫不外放）

將其地址鎖定到某條街某個門牌號

接著我將這個地址的gps圖發了過去

並對其中的頁面屬性做了變更

將自己偽裝成了廣東的網警

然後接下來有些緊張

所以邏輯稍有不清晰

一連發了很多句

轉賬截圖是J發給我的

我偽造了一個J報警的假象

應該是有點慌了

過了25分鐘這個人才回復我

哈哈，這個我發的就有點扯淡了~

很多法律條文都是我自己創造的

他要看證件照

我便聯繫了一個網安朋友

說明情況

經過允許後發了證件照

8

安排

在我發含有xss payload url時

我讓J給這個人發了幾句話

大概就是說

退錢就撤銷報警

然後J照做：

這個騙子看似很淡定

其實心裡慌得一批

這邊要收款碼而不是直接轉賬

可以猜測他是找別人去借了

然後陸續

既然錢已經退了

我也就可以收尾了

然後收穫了一個迷妹和迷妹媽的稱讚

9

花落無聲

追款有很多工作沒有做好

導致有那麼一會兒手忙腳亂

所幸的是

追款成功

我也鬆了一口氣，吹了一下鍵盤上的灰，端起奶茶喝了一口

打開網易雲

聽著窗外雨聲

又打開了BurpSuite……

怎麼說呢

我一直就想

不要讓技術蒙上灰

追款這種事

我曾經免費幫同學、鄰居、朋友以及網友做過

也因此收穫了不少肥宅快樂水

當然，我自己很菜

寫這篇文章純做記錄

以及提供另類追款方式

大佬勿噴~

有其他疑惑歡迎留言交流討論~