记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

移花接木,如何利用第三方服务发动WEB攻击

2013-11-08 19:05

继《走近科学:如何利用Google机器人进行SQL攻击》后,咱们来讨论讨论如何利用三方服务进行移花接木。

在很久之前,我们就在加速乐的离线日志中发现了来自谷歌爬虫攻击,事实上,不止谷歌爬虫,包括百度之类的也在内,如下图,是我们一个内部平台找到的一条来自百度爬虫的注入:

验证下这个IP:123.125.71.99:

除了百度、谷歌,还有其他。利用其他三方网站的服务去请求payload实际上是很容易的。例如,我还从加速乐日志里发现来自google reader等等。

来点实际的。比如,我可以用鲜果阅读的订阅去向我博客提交注入请求:http://lx.shellcodes.org/show.php?id=4 and 1=1

订阅这条带payload的地址后,我从博客的日志中就发现了攻击请求:

这个IP其实就是鲜果订阅的IP。

百度网盘也可以,新建个下载任务:

接着看日志:

像百度网盘这些提供了API服务的,是不是写点脚本批量攻击呢;还有一些服务可以看到请求后返回的HTTP状态的,是不是更精准知道攻击结果呢。。理论上可以绕过一些IP白名单,剩下的看官们自己发挥吧,我继续工作了。

var

知识来源: www.freebuf.com/articles/web/16918.html

阅读:80338 | 评论:0 | 标签:WEB安全 安全技巧 第三方服务攻击

想收藏或者和大家分享这篇好文章→复制链接地址

“移花接木,如何利用第三方服务发动WEB攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云