一个邮件钓鱼网页的分析

benteng302

好长时间没有发帖，格式调5遍还是没有搞好{:1_907:} ，有时间继续优化该贴，大家委屈一下先参看附件。
一个邮件钓鱼网页的分析.rar
今天打开邮件，无意中发现了一封全英文的报价信息邮件，附件是html的网页文件。NND，我们就一个的破小公司充其量也就做几单本地业务哪来的国际大单呢，嘿嘿，既然人家给咱报价了，来而不忘非礼也。那就动手分析一下这个大单吧。


首先把这个钓鱼的网页复制到安全的VM，用记事本打开看看什么内容吧，跟自己料想的差不多满篇的“小蝌蚪”，太正常不过了,如果钓鱼的话随随便便右键一下把裤衩都漏出来了，也有点太low了。


打开一下看看什么效果，网页界面做的较逼真，第一个框是我的邮件地址，第二框是用来欺骗输入密码提交查看文档的，到这就也大概理解了此钓鱼网页是用来钓用户邮件密码的。
如图：


好吧，那接下来看看它是如何实现钓鱼的，钓完之后的密码是通过什么路径收集的，下面开始网页的代码分析。


以上为正常网页内容，无需过多解释。


这里有个src的调用pdf.JS脚本，服务器还是阿里云看看是什么东东，打开后发现原来引用的是jQery脚本，对于天天在坛子的各位大虾这个脚本的作用就一掠而过，Query 是一个高效、精简并且功能丰富的 JavaScript 工具库。它提供的 API 易于使用且兼容众多浏览器，让诸如 HTML 文档遍历和操作、事件处理、动画和 Ajax 操作，说白了作者引用这就是所有的浏览器都可执行。
接着往下看，让我们看看这一坨是什么东东


JS不用过多解释一看便知，加密方式是什么呢，在这忽然之间看到了”unescape“单词，那就简单多了，解密方法找到了，拿出我的站长工具解密一下看看什么鬼。


NND这多乱码竟然加密了三次，经过三次unescape解密，得到了三个链接的脚本，看看是啥功能。


先看第一个 https://smtpjs.com/v3/smtp.js， 从脚本内容看应该是可以通过该脚本执行邮件发送哦。


往前翻翻看看主站smtpjs.com是干哈的, 哦，果然被我猜中该网站可以帮助实现通过调用smtp.js来实现邮件发送。


而且网站还为了安全还可以让使用用户通过Token的形式实现邮件发送。


第二个JS的调用https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js，就不分析了同调用阿里云的jquery脚本一样，略过。看第三个JS的调用 http://api.ipify.org?format=jsonp&callback=getIP"，从该链接一看初步估计是获取被钓鱼的IP地址的，果然不错。


到了这，大概了解该钓鱼网页的思路，利用网页钓鱼用户邮箱密码和IP地址，然后通过调用smtp.js实现密码和IP的收集，继续往下分析看看，还有什么可以挖掘的。


接下来是这个链接，既然看到了明显的标志type=”image/pnghref=”data:image/png; base64“，就不用看了以下内容是经过base64加密的用于网页显示的图片，略过不看了。

608岁的老头

我真的很好奇楼上面的那两个到底学到了什么

JOJOpet0

xK4iEqM 发表于 2021-1-1 09:01
大佬请问安卓机用什么安全软件比较好啊

Bitdefender 或者 AVL 卡巴也可以啦

秃头大太阳

学到许多，这份新年礼物可太棒了！
提个微不足道的小建议，排版能不能稍微做一下看着有点费力哈哈

龙神邪少

感谢楼主，学到了

xK4iEqM

大佬请问安卓机用什么安全软件比较好啊

ycg61

2021 新年快乐！ 哈哈 4位ID老混子 前来报道！！！

网络很鬼

2021，新年快乐

觉今是而昨非

得提高安全意识啊，一不小心可能就中招了

吾爱小神

608岁的老头 发表于 2021-1-1 08:56
我真的很好奇楼上面的那两个到底学到了什么

哈哈哈哈哈哈