实战钓鱼之url魔改

渗透技巧 1年前 (2023) admin

503 0 0

背景

在实战钓鱼演练中通常会注册近似域名来博取信任，比如：googlle.com、g00gle.com等，又或者会利用url跳转漏洞将恶意url伪装成官方域名，比如：https://google.com?check=hack.com，本文将介绍如何在不利用漏洞的情况下，将恶意域名伪装成任意官方域名。

第一式：url语法格式利用

众所周知，url由几个主要部分组成：协议、主机、端口、路径，即：

<scheme>://<host>:<port>/<path>?<query>

事实上，url的语法格式可以细分为九个部分：

<scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag>

params常通过”;key=value”的形式被某些协议用来指定输入参数，frag常通过”#flag”的形式用来跳转到一个网页的指定位置。这里的重点是，url语法允许host前面添加”user:password@”形式的用户名密码对，拿http协议的url举例，我们通常不会在host前加用户名密码对，这是因为请求的资源匿名即可访问，但是在host前加上用户名密码对也并不会影响资源的访问，借此我们可以在url中构造任意的用户名密码对。

比如，将url伪造成任意官方域名：

https://www.bing.com&[email protected]

第二式：浏览器域名解码利用

上述操作，我们对url进行了一番伪造，但是隐藏在url后面的真实域名ikun.org仍会引起警觉。于是想办法让后面的ikun.org看起来不像个域名，由于DNS服务器的解析是由英文代码所构成，所以浏览器会在访问资源前会对域名进行解码，而多个ascii字符会被解码成同一个英文字母，我们可以编写简单的JavaScript脚本进行fuzz。

for (let i=0;i<=65535;i++){    var a = 'https://'+ String.fromCharCode(i) +'kun.org';    try{        let url = new URL(a);         if (url.hostname && url.hostname == "ikun.org")            {                console.log(i,String.fromCharCode(i));            }    }catch{        // console.log("error");    }}

通过脚本我们找出域名所对应的ascii字符，比如英文字母i同时对应：

I i ᴵ ᵢ ⁱ ℐ ℑ ℹ ⅈ Ⅰ ⅰ Ⓘ ⓘ Ｉ ｉ

url进一步伪造成了

https://www.bing.com&action=login@ℐⓀⓊⁿ.ºʳℊ

第三式：IP整数形式利用

除了可以用其他ascii字符代替真实的域名外，还可以使用ikun.org的ip地址来指向真实的域名，比如

https://www.bing.com&[email protected]

为了更好的隐藏ip地址，我们可以将ip地址的点分十进制表示方式转换为整数表示，转换原理的简单解释：IP 地址（IPv4）由32 位的 8 位二进制文件的组合组成。由于输入实际的二进制组合（例如：11000000）非常不方便，因此使用与二进制对应的十进制（例如：192），浏览器在解析整数形式的ip地址时，会将URL中的十进制转换为二进制并分割成8位，然后从将8位的二进制数字转换为对应的十进制。

拿127.0.0.1举例，对应的二进制应该是01111111 00000000 00000000 00000001，二进制进一步转换成得到整数形式的IP 2130706433，于是url进一步伪造成

https://www.bing.com&action=login@2130706433

末尾可以使用frag稍加修饰，最终我们将ikun.org 魔改成

https://www.bing.com&action=login@2130706433#3.docx

写在最后

本文介绍了如何在不利用漏洞的情况下对恶意url进行魔改，最终达到逼真的url伪造效果，在实战攻防中逼真的url伪造往往能让攻击效果事半功倍，同时希望企业能重视人员安全意识培养，认识到人员就是企业的边界。

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。