愛鋒貝

標(biāo)題: 怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡 [打印本頁]

作者: 慧慧蘋果醬 時(shí)間: 2022-1-27 10:07
標(biāo)題: 怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡
早在16年那一段時(shí)間，有些人圖便宜買別人的二手手機(jī)，當(dāng)時(shí)沒有閑魚轉(zhuǎn)轉(zhuǎn)等二手交易平臺(tái)，想買賣只能通過社交軟件（QQ微信），最先的騙子就是直接在QQ騙錢然后拉黑。
隨著二手交易平臺(tái)的誕生，最近一段時(shí)間出現(xiàn)了仿冒閑魚轉(zhuǎn)轉(zhuǎn) 交易貓等二手實(shí)物、賬號(hào)的交易平臺(tái)，這時(shí)候，騙子抓住機(jī)會(huì)也來了....如下就是仿冒閑魚的詐騙站一般都是對(duì)接的**易購(gòu)、*東等平臺(tái)的支付接口框架用的thinkphp，如下

(, 下載次數(shù): 19)
支付后，閑魚并不會(huì)出現(xiàn)任何訂單這筆錢就給騙子的QQ充值了QB 或者就給騙子的手機(jī)號(hào)充了話費(fèi) 即使你投訴了該筆訂單，也會(huì)發(fā)現(xiàn)收款方是一些大公司如**易購(gòu)、*東，http://chinabe.cn，投訴也會(huì)失敗

(, 下載次數(shù): 20)
不仔細(xì)看鏈接的域名（官方的閑魚域名是http://2.taobao.com），或者復(fù)制網(wǎng)頁的閑魚用戶名去閑魚app搜索，根本無法分辨真假很多人就上當(dāng)了
然后我打算搞到這個(gè)釣魚站的源碼然后進(jìn)行代碼審計(jì) 找到漏洞
運(yùn)氣不錯(cuò) 通過搜索引擎檢索找到了源碼（2020/11發(fā)布的應(yīng)該和目標(biāo)站差不多）

(, 下載次數(shù): 20)
最后在服務(wù)器搭建并調(diào)試在后臺(tái)修改信息那里很快就找到了一個(gè)未授權(quán)任意文件寫入的洞子

(, 下載次數(shù): 21)
靠著代碼審計(jì)水平(這閑魚釣魚站代碼寫的就離譜了?。?！)，找到了這垃圾洞，直接本地復(fù)現(xiàn)一下

(, 下載次數(shù): 19)

(, 下載次數(shù): 20)

(, 下載次數(shù): 20)
ok成功?？磥砦宜悸窙]錯(cuò)。最后直接去對(duì)方網(wǎng)站，來一遍getshell
結(jié)果...釣魚站把默認(rèn)的后臺(tái)地址改了我用python爆破了下后臺(tái)地址，最后后臺(tái)地址是/admin888.php（好家伙，發(fā)發(fā)發(fā)啊）
最后成功getshell

(, 下載次數(shù): 22)
然后我查看了config.php的數(shù)據(jù)庫賬號(hào)密碼、上傳了輕量級(jí)mysql，成功拿到了后臺(tái)的賬號(hào)密碼
發(fā)現(xiàn)不僅有閑魚商品還有仿冒轉(zhuǎn)轉(zhuǎn)的，且分工明確有多個(gè)用戶（實(shí)施詐騙的漁夫user）
PS：（最后我把騙子的QQ、源碼、數(shù)據(jù)庫sql、域名、后臺(tái)登錄IP私信方式提交給了admin登錄IP所在地的XX市網(wǎng)警巡查執(zhí)法官方微博）
如果問我為什么加水印，我發(fā)現(xiàn)很多論壇和博客在克隆吾愛的帖子且不備注來源只好加上吾愛的水印

-----------------------------

作者: 馬橋 時(shí)間: 2022-1-27 11:34
你好我也被騙過所以我想問一下怎么能做到你這種地步需要學(xué)哪個(gè)專業(yè) 才能報(bào)復(fù)那些騙子

作者: 凡凡54 時(shí)間: 2022-1-27 13:01
樓主，請(qǐng)問一下境外的騙子網(wǎng)站你也能破譯嗎？

作者: A房屋買賣找小 時(shí)間: 2022-1-27 14:29
求大神幫忙搞一個(gè)騙子釣魚網(wǎng)站中國(guó)石化加油卡官方充值網(wǎng)站_中國(guó)石化網(wǎng)上營(yíng)業(yè)廳

作者: 沉醉 時(shí)間: 2022-1-27 15:48
求大神教教我
我被騙了38000多受不了了

作者: 淺淺￡微笑 時(shí)間: 2022-1-27 17:15
你三天前被騙？怎么被騙的

歡迎光臨愛鋒貝 (http://m.7gfy2te7.cn/)