“偷鸡”趣事一则

作者:wiLdGoose 发布时间:December 18, 2020 分类:生活 Lifestyle

好久没有参加娱乐活动了,今天遇到“偷鸡”趣事一则,随笔记录,聊以慰藉。

起因是早上看到昨天后半夜收到钉钉通知一则:

那行猥琐的代码深深地吸引了我,直接请求了一下。好家伙,XSS 代码:

有点不开心,你好歹专业一点。往这里插入 XSS 代码叫怎么回事嘛。再一看网站,还有这么个玩意儿:

有点兴趣了,不过账号注册需要验证手机号码。暂且作罢。到库里找到这个用户,查下手机号码:

短信下发时通道返回成功,说明这号码还能收到短信的:

基本判断是太空卡无疑了。再查下登录设备:

可以看到是水果设备登录的,虚拟的可能性较低。

看看还能挖点什么。一开始我没往登录 IP 去想,感觉至少一跳起步。谁知道阁下居然选择裸奔:

在线时间 + 拨号 IP,应该能溯源到宽带账号的。只不过国内的运营商是不 care 这种鸡毛蒜皮的小事的。毕竟没出人命不是,还是赚钱要紧。

又翻了翻库,发现这哥们其实早来过了。当时通知还没开,就没看到:

感觉这哥们儿真的该去挂号了。我看在眼里,急在心里。太空卡又打不通电话,怎么通知他呢?

找到了回调 URL,构造一个温馨的提示:

https://xsshs.cn/xss.php?do=api&id=8SyG&username=fuck_you&password=fuck_your_monther_20_miniutes_no_problem_by_bike

PS:感谢老夫子友情提供私人密码用于伟大的无产阶级测试。

然后,找了大约 30 台 VPS:

1、Windows 系统:360 浏览器大法,间隔 2s,自动刷新,走你;

2、Linux 系统:小盆友,ApacheBench 了解一下?

- EOF -

  1. 1