最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法:
给公众号设为星标
加入交流群”棉花糖娱乐圈圈圈“也能第一时间获得推送噢
老群“棉花糖娱乐圈圈“已经被封
由于公众号经常被封,所以搞了个小号以防失联
棉花糖博客地址:www.mianhuatang.tk 已更新迪总课程的学习笔记(来自纷传圈的师傅)
前情提要
事情是这样的,这位师傅闲来无事上闲鱼逛,看见一个ipone13pm挂5300元,经交流后砍价为5100元,拍下后二十分钟,卖家说快递员上门取件了,并发来一个号称是认证买家实名制的链接:
闲鱼没有漏域名所以也没法引起足够的警惕,所以这位师傅就点了链接,正常跳转支付宝了,显示菜鸟裹裹要求买家验证身份,直接弹出了人脸验证,众所周知,支付宝对这方面优化还是可以的,一个稍微好点的手机,扫脸基本上秒扫,于是悲剧发生了......
下图是诈骗犯发在快手炫耀的
过了十分钟对面就把这位师傅拉黑了,联系官方客服举报后告知需要审核,三天,黄花菜都凉透啦,半小时后这位师傅到派出所报了案,又过了半小时后闲鱼官方给师傅打电话说已经联系到对方,对方说五点前退钱(棉花糖怀疑是五点前就能把钱洗干净),然后过了五点也没退,随后官方客服也无法再联系到对方,让师傅申请披露对方信息,,,目前还无下文,,,,
经过一些手段棉花糖糖糖圈子的师傅也获得了一些信息,有人也在快手发布引流视频,还在出售相关源码中,以下是在快手的视频:
嚣张至极,近年来这类事件已经非常多了,圈内称作”鲨鱼“,各种平台公开售卖源码已经快常态化了,即使在国家大力宣传反诈的情况下依然有增无减,甚至如今已经搬上自媒体平台公开引流售卖,被诈骗的师傅报警后警方回复:”还有几十万的案子还没开始查呢“
后续日站
被骗的师傅提供了诈骗犯用于钓鱼的链接:
http://m.xianyu-cainiao.top/sh/cainiao.php?chInfo=ch_share__chsub_CopyLink&fxzjshareChinfo=ch_share__chsub_CopyLink&apshareid=275528BB-5A62-4B61-B6D1-73347C18E31D&shareBizType=mrfxzw 经过操作我们找到了服务器的ip:85.8.182.224 是个香港ip,域名已经无法访问估计迁移了,但这个ip还建了另一个站,直接访问ip就能访问到,是个客服系统,估计是用于二次鲨鱼的 随便扫扫目录,哟,小逼崽子后台弱口令是吧,admin/123456进去了
瞅这样子,已经被骗不少人了啊 ,一个五千,我超半个月赚几个w,利润可刑啊,经过一通操作,发现上传点是白名单,去看了一眼数据包,发现有几个可能和数据库交互的地方,比如这里,简单测了下真的有注入!
脚本小子出列! 到! 直接扔进sqlmap:
有意思的是这个源码的开发者(诈骗犯)在两套源码中都没有任何对sql注入的防护,仅仅对上传点做了白名单限制,由于无法搞到绝对路径也无法尝试写入shell,这套源码后台地址是自定义的,所以基本上到这里就断掉了(我怎么这么垃圾) 找到同ip站的其他两个系统也没有日穿。。努力中,,, 棉花糖糖糖圈子的师傅通过信息收集获取到了另一个地址:http://zhuanzhua.top/ 扫了扫目录。。。
牛爆了兄弟。。。 由于上一个源码无任何sql注入防护,我们直接老手段直接上sqlmap试试看
还是没搞到有用的东西,库里都是些无用的数据,哎,太菜鸡了,其他地方都逛了一圈没找到洞,这个站以layui二开,估计上layui的0day能打一打吧 那么整理一下,目前我们已知的信息有: 售卖源码的人的qq号,售卖源码的人的ip地址,诈骗犯的服务器地址。 以上信息已提交给群里的网警师傅 如果看到文章的师傅有其他信息可以通过公众号菜单栏联系棉花糖提供,转交给police
如果看到这里的师傅的你偏新人向
那么加入我们,性价比绝对超高
内部有新人所需绝大部分资源
目前仅需70RMB一年,满1000人涨到99一年(目前进度766/1000)
代码审计扫描工具Fortify SCA 22.2.2 全系统破解版
漏扫哒哒哒哒:Invicti-Professional-v23.3_windows破解版
(封号十天补发一下)Acunetix-v15.4_windows&linux破解版
CS4.7汉化+修改指纹+加密流量+最新ladon9.2.5教程内附成品
本工具仅面向合法授权的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。
为避免被恶意使用,本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。
在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行扫描。
如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
本工具来源于网络,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
在安装并使用本工具前,请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。
原文始发于微信公众号(棉花糖网络安全圈):警惕闲鱼钓鱼链接!已有师傅损失5k!点进来吃瓜啦
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论