|
|
一鍵注冊�,加入手機圈
您需要 登錄 才可以下載或查看����,沒有帳號?立即注冊  
x
早在16年那一段時間�,有些人圖便宜買別人的二手手機��,當時沒有閑魚 轉(zhuǎn)轉(zhuǎn)等二手交易平臺��,想買賣只能通過社交軟件(QQ微信)����,最先的騙子就是直接在QQ騙錢然后拉黑。
隨著二手交易平臺的誕生����,最近一段時間出現(xiàn)了仿冒閑魚 轉(zhuǎn)轉(zhuǎn) 交易貓等二手實物、賬號的交易平臺����,這時候���,騙子抓住機會也來了....如下就是仿冒閑魚的詐騙站 一般都是對接的**易購、*東等平臺的支付接口 框架用的thinkphp��,如下
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-1.jpg (295.98 KB, 下載次數(shù): 18)
下載附件
2022-1-29 11:58 上傳
支付后��,閑魚并不會出現(xiàn)任何訂單 這筆錢就給騙子的QQ充值了QB 或者就給騙子的手機號充了話費 即使你投訴了該筆訂單�,也會發(fā)現(xiàn)收款方是一些大公司 如**易購、*東��,http://chinabe.cn����,投訴也會失敗
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-2.jpg (203.97 KB, 下載次數(shù): 19)
下載附件
2022-1-29 11:58 上傳
不仔細看鏈接的域名(官方的閑魚域名是http://2.taobao.com),或者復(fù)制網(wǎng)頁的閑魚用戶名去閑魚app搜索�,根本無法分辨真假 很多人就上當了
然后我打算搞到這個釣魚站的源碼 然后進行代碼審計 找到漏洞
運氣不錯 通過搜索引擎檢索找到了源碼(2020/11發(fā)布的 應(yīng)該和目標站差不多)
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-3.jpg (62.11 KB, 下載次數(shù): 19)
下載附件
2022-1-29 11:58 上傳
最后在服務(wù)器搭建并調(diào)試 在后臺修改信息那里很快就找到了一個未授權(quán)任意文件寫入的洞子
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-4.jpg (45.8 KB, 下載次數(shù): 20)
下載附件
2022-1-29 11:58 上傳
靠著代碼審計水平(這閑魚釣魚站代碼寫的就離譜了!?����?����!),找到了這垃圾洞�����,直接本地復(fù)現(xiàn)一下
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-5.jpg (130.7 KB, 下載次數(shù): 19)
下載附件
2022-1-29 11:58 上傳
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-6.jpg (38.38 KB, 下載次數(shù): 19)
下載附件
2022-1-29 11:58 上傳
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-7.jpg (142.46 KB, 下載次數(shù): 19)
下載附件
2022-1-29 11:58 上傳
ok成功����。看來我思路沒錯����。最后直接去對方網(wǎng)站,來一遍getshell
結(jié)果...釣魚站把默認的后臺地址改了 我用python爆破了下后臺地址��,最后后臺地址是/admin888.php(好家伙���,發(fā)發(fā)發(fā)啊)
最后成功getshell
怎樣成功黑入詐騙網(wǎng)站并一網(wǎng)打盡-8.jpg (68.14 KB, 下載次數(shù): 21)
下載附件
2022-1-29 11:58 上傳
然后我查看了config.php的數(shù)據(jù)庫賬號密碼 ���、上傳了輕量級mysql����,成功拿到了后臺的賬號密碼
發(fā)現(xiàn)不僅有閑魚商品 還有仿冒轉(zhuǎn)轉(zhuǎn)的���,且分工明確 有多個用戶(實施詐騙的漁夫user)
PS:(最后我把騙子的QQ�����、源碼����、數(shù)據(jù)庫sql、域名���、后臺登錄IP私信方式提交給了admin登錄IP所在地的XX市網(wǎng)警巡查執(zhí)法官方微博)
如果問我為什么加水印�����,我發(fā)現(xiàn)很多論壇和博客在克隆吾愛的帖子且不備注來源 只好加上吾愛的水印
----------------------------- |
|
發(fā)表于 2022-1-27 10:07:40
收藏
頂
靠
提升卡
置頂卡
禁言卡
解禁卡
變色卡
置頂卡
照妖鏡
