0x01 前言
学到了!开始记录我的过程!
# 参考:
https://mrd0x.com/phishing-with-google-domain/
0x02 介绍
使用谷歌翻译服务。只需输入域名,即可获得翻译后的域的链接。
https://translate.google.com/
0x03 伪造谷歌域
我们点击,会进行跳转!跳转到具有域名的翻译域。
https://www-baidu-com.translate.goog/?_x_tr_sl=auto&_x_tr_tl=ja&_x_tr_hl=zh-CN&_x_tr_pto=nui
大致格式
-
*.translate.goog/?_x_tr_sl=auto&_x_tr_tl=ja&_x_tr_hl=zh-CN&_x_tr_pto=nui
我们可以进行增删改,去掉碍眼的菜单栏
结果: /?_x_tr_sl=en&_x_tr_tl=en
https://www-baidu-com.translate.goog/?_x_tr_sl=auto&_x_tr_tl=ja
将域隐藏在 Google 域后面以绕过域过滤、域信誉检查等的一种快速简便的方法
0x04 对国内产商尝试进行伪造
想着试试国内产商是否存在这个问题,但并没有!可以是柳暗花明又一村,我找到了搜狗的在线翻译平台
https://fanyi.sogou.com
国内产商基本都是这样的,无法删除菜单栏。可是我想到之前看过百度翻译存在过XSS,可以搭配点击劫持进一步加大危害。
Payload:http://www.baid/<img src=1 onerror=alert(1)>
0x05 结尾
不断思考,一个点不可能只有一个漏洞!
从现在开始,星球定价125元!日后只有慢慢涨没有跌价!现在入股不亏,持续输出原创文章,还是小有干货的!