News:禁止使用本博客的技术文章、源码、工具等用于非法用途,否则后果自负。

看我如何在机缘巧合下发现网易所有游戏玩家手机号

jasonx 665 1 条

0x00 前言

xss的基本原则就是见洞就插。

0x01 短信回复插payload

屌丝正在睡梦中,突然一声清脆的短信声,把我从梦中惊醒,拿起手机一看,原来又是推广信息。
如下;
0.png

短信中提示,回复【T】即可退订短信。

突然灵光一闪,冒出一个想法,假如我回复的时候插入xss代码会怎么样?
因为很多短信发送都是通过web短信平台来发出的,那么回复短信应该会有个回复列表。
如果对回复的短信内容没有过滤的话,就会触发xss漏洞。

那么我直接插入一个payload。

01.png

反正管理员应该不会那么快去查看退订列表,所以就没去管了, 继续睡觉...

0x02 成功拿到cookie

就在今天,邮件突然提醒,收到小饼干了,上xss平台一看,哦吼....

xss.png

我们打开火狐,修改cookie,成功进入短信平台。

我去,各种以往发送的短信记录全暴露。

阴阳师玩家....
s1.png

梦幻西游手游过百万玩家....

s2.png

0x03 后记

虽然只泄露了手机号,但是很多人的游戏账号就是手机号码,如果被恶意获取到的话,可能会导致撞库攻击。
也可以通过短信发送钓鱼url,因为签名就是网易的,后果可想而知。。。

漏洞已提交给网易和相关的短信平台。
现漏洞已修复,所以公开思路仅供学习。

本文为jasonx原创,未经许可谢绝转载。

与本文相关的文章

网友最新评论(1)

  1. DYBOYMay 3rd, 2019
发表我的评论

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址