WooYun Zone镜像——paypal 的验证模式是 MAC + IP ,IE 能获取到MAC 的地址么?

admin 2020-7-9 960

小道消息,paypal 的验证模式是 MAC + IP 。

IE 能获取到MAC 的地址么?FOX OPARE 起来浏览器了?

据搜资料,js获取mac地址(续)


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312"/>
<title>js获取mac地址</title>
<SCRIPT language="JavaScript"> 
    function MacInfo(){
    var locator =new ActiveXObject ("WbemScripting.SWbemLocator");
    var service = locator.ConnectServer(".");
    var properties = service.ExecQuery("Select * from Win32_NetworkAdapterConfiguration Where IPEnabled =True");
    var e =new Enumerator (properties);
    {
        var p = e.item();
        var mac = p.MACAddress;
        alert(mac)
    }
}
</SCRIPT>
<body>
<input type="button" onclick="MacInfo()"/>
</body>
</html>

这个代码可以直接运行的

只能在ie下使用

并有浏览器安全-->爱信任站点-->里添加你的站点,并把安全级别设置为低

吐槽:锤子,“浏览器安全级别”调成低,直接种马完事,还取个毛MAC。)

net b/s版本的: http://www.cnblogs.com/0banana0/archive/2011/11/02/2233333.html

---------------------------------------男人如房,女人如车.


这样的获取,都是在一定的要求下,才获取的到。

讨论

测试代码,请勿本地测试。

相关讨论:

1#

piaoye (123) | 2013-06-26 22:50

这个应该是通过下载控件实现的

2#

Sogili (长短短) | 2013-06-26 23:34

paypal能验证说明他能获取到

3#

混世魔王 (欢迎友情链接26836659.blogcn.COM) | 2013-06-26 23:47

@piaoye paypal 好像不要下载控件

4#

请叫我大神 | 2013-06-27 00:40

@混世魔王 如果真是JS取的,应该能够看到JS哇,不光是JS,以前也有用applet之类的,来取这些东西

5#

唐尸三摆手 | 2013-06-27 00:44

@请叫我大神 理论上不借助其他东西 是获取不了的

6#

齐迹 (奔六月最撸力奖去的!) | 2013-06-27 07:00

不管怎么获取。。关键是mac可以修改!!

7#

HackPanda | 2013-06-27 07:38

参见@xsser曾经发过的一篇文章…

8#

老黑 | 2013-06-27 08:19

有人说PP是通过FLASH获取的 现在一团模糊

10#

核攻击 | 2013-06-27 09:30

1、互联网取mac地址,因为mac地址只在局域网传播,所以只能取到最后一跳路由的Mac(也就是服务器的网关)。

2、js 取 mac 地址是需要权限的(默认权限取不到,上边已讲到)。

3、浏览器控件、插件,完全可以。

11#

混世魔王 (欢迎友情链接26836659.blogcn.COM) | 2013-06-27 10:24

@核攻击 是研究paypal 的一个机制问题。不是入侵。

12#

混世魔王 (欢迎友情链接26836659.blogcn.COM) | 2013-06-27 10:25

paypal 是HTTPS ,是“信任” 是否这个信任的条件下,可以获取?

13#

混世魔王 (欢迎友情链接26836659.blogcn.COM) | 2013-06-27 20:23

@请叫我大神 @核攻击 你访问paypal.com 是没有控件的。也不会给修改IE级别的权限, 不符合你说的 1.2.3 条。

—————————————————————————————————————————————————

friday @ 2013-06-27 13:24:39

浏览器控件获取。。。

本站回复:

答对。

椰子比尔 @ 2013-06-28 00:46:32

诡异。

本站回复:


最新回复 (0)
返回
发新帖