自学教程 ·

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站

开始

前几天在网上看到一篇文章,利用xss反钓鱼骗子网站。所以抱着学习的态度,我也在闲鱼上找了几个骗子的联系方式,试试手。以下是测试过程。写的很乱,大佬们看看就好了。

经过大佬的提醒,现在已经把关键部分打码了。

目标网站:http://xx.net.cn (不方便透露了,怕被喝茶)

ip:xxx

Nginx,宝塔面板,php5.4.45(云悉查出来的信息)

信息收集

1.先在闲鱼app上查找比市场价低的商品,这些商品一般是留个QQ或者微信的联系方式,让你加上和他聊。
TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第1张
(与骗子的部分聊天截图,这骗子是我很久前加的,昨天才同意,与上图的QQ不一样,这人的QQ是:3025098220)
TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第2张
2.现在获取到了钓鱼网站的网址:http://xxxx/detail/?i=...(不能透露链接了) (这是我进入后台后找的网址,上图的网址已经失效,这个骗子还挺有警惕性的,被我忽悠一天后还是把我删了,聊天截图还有很多,这里就不发出来了,哈哈哈)

网站打开是这样的:

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第3张

付款页面是跳转到支付宝:

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第4张

(收款公司是:北京畅游时代数码技术有限公司,百度了一下,发现已经有很多人被骗了!报警貌似也没用)

漏洞利用

这个网站的测试,我利用到了两种方法,第一种是xss注入获取管理员cookie,第二种是sql注入直接跑出了管理员账号密码等信息。

1.xss攻击
通过这个钓鱼网站,发现了一个注入点,就是点击我想要后出现一个确认订单的页面,然后有个添加收货地址。就从这里添加xss的payload。(应该都能看懂吧。。)

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第5张

(这里用到的xss平台:https://xsspt.com/)

我用的payload是获取cookie值,插入payload后就返回,然后点击确认下单。

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第6张

然后点击立即支付,就会跳转到上面的支付宝付款页面,但是你不用付款啊!就耐心等待钓鱼网站的管理员在后台查看订单信息。然后去xss平台查看cookie就行了。
下图是xss生效后返回来的管理员payload。

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第7张

(可以看到已经爆出了管理员后台,还有管理员的cookie值,以及管理员的ip地址)

重点来了:利用管理员cookie直接登录后台

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第8张

到此已经拿到管理员权限!但是尝试上传shell失败!,有能力的大佬可以试试看。

sql注入

之前进行xss注入的时候,就是添加收货人地址的时候,出现了一个报错。发现是sql语句报错,截图如下。

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第9张

然后把它丢到sqlmap里跑跑看,运气不错,发现注入。

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第10张

接着跑出相关的信息,过程我就不演示了,不会的可以百度一下。,直接贴出管理员账号密码信息。

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第11张

然后查出md5,获得管理员账号密码,成功登录后台

TRY博客渗透学习-如何搞定一个闲鱼诈骗网站 自学教程 第12张

总结

闲鱼上还有很多类似的钓鱼平台,已经有很多人上当受骗,百度一下:北京畅游时代数码技术有限公司闲鱼诈骗,能够得到很多信息,从几年前就开始了,但是警方好像也没有对此进行处理,不知道是什么情况,这些人最少被骗1000,也有人被骗几万的,他们报警也没用。

这次的测试,在后台也发现了几个上当受骗的人,然后我打电话过去提醒,结果我好像被当成骗子了。。。。,现在就尽力收集相关信息,看看能不能报案吧。。

提示

《中华人民共和国刑法》相关条款:
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

参与评论