钓鱼网站渗透测试实战教学文档

1. 案例背景

本案例描述了一起针对iPhone被盗后收到的钓鱼短信进行的渗透测试过程。攻击者通过伪造苹果官方页面诱导用户输入Apple ID和密码，网站设计逼真，包括PC端适配。

2. 初步侦察

2.1 网站特征分析

• 登录系统会验证输入的账号密码是否符合苹果密码规则(如WINWIN.dd22格式)
• 前端限制输入长度为7位(但可通过数据包修改绕过)
• 整体设计比一般钓鱼网站更精细，漏洞较少

3. 渗透测试过程

3.1 XSS测试

1. 发现前端输入限制：登录框限制输入7位字符
2. 绕过方法：通过拦截数据包修改payload长度
3. 测试结果：
   • XSS payload成功执行
   • 网站设置了HttpOnly标志，无法获取cookie
   • 但返回了有用的HTML源代码

3.2 源代码分析

从返回的HTML源代码中发现关键信息：

• /password目录和请求参数
• 创建新管理员的请求接口

3.3 权限提升尝试

1. 直接构造创建管理员请求包失败，提示"请先进行登录"
2. 考虑结合XSS和CSRF进行攻击

3.4 CSRF Token机制分析

1. 发现每次请求会生成新的CSRF Token
2. Token特性：
   • 未使用时保持有效
   • 使用一次后即失效
3. 利用方法：
   • 获取新生成的Token
   • 在Token被使用前构造恶意请求

3.5 组合攻击

1. 构造XSS payload包含以下功能：
   • 获取当前有效CSRF Token
   • 使用Token构造创建管理员请求
   • 添加非同源访问记录链接用于确认攻击成功
2. 当管理员查看包含payload的页面时：
   • 自动创建新账户
   • 攻击者收到访问记录确认

4. 攻击结果

• 成功创建管理员账户
• 钓鱼网站运营者发现被渗透后关闭了网站
• 调查发现攻击者使用同一邮箱注册了70+钓鱼域名

5. 防御建议

5.1 针对钓鱼网站开发者

1. 加强XSS防护：
   • 严格过滤输入
   • 设置Content Security Policy
2. 改进CSRF防护：
   • 使用一次性Token
   • 增加Referer检查
3. 敏感操作二次验证

5.2 针对普通用户

1. 手机被盗后：
   • 警惕任何要求输入Apple ID的短信/邮件
   • 通过官方渠道(如电脑浏览器)直接访问iCloud.com
2. 识别钓鱼网站：
   • 检查URL是否官方域名
   • 注意页面细节差异
3. 使用强密码并启用双重认证

6. 技术总结

本案例展示了如何通过以下步骤渗透一个安全性较高的钓鱼网站：

1. 发现并绕过前端限制
2. 利用XSS获取系统信息
3. 分析源代码发现敏感接口
4. 研究CSRF Token机制
5. 组合XSS和CSRF进行权限提升

关键突破点在于CSRF Token的生成和使用机制存在逻辑缺陷，使得攻击者能够在Token有效期内构造恶意请求。

7. 附录：技术术语解释

• XSS (跨站脚本攻击)：攻击者在网页中插入恶意脚本，当其他用户浏览时执行
• CSRF (跨站请求伪造)：利用用户已登录状态，伪造用户请求执行非预期操作
• HttpOnly：Cookie属性，防止JavaScript访问，增加安全性
• Payload：攻击中实际执行的恶意代码或数据
• SQL注入：通过构造特殊输入，干扰应用程序数据库查询的攻击方式