本文来自网友投稿,ID:Whirlwind 单挑
无聊的一天,一位网友好兄弟,发给了我一套源码,刚看到很懵逼,不过打开之后全都明白了,一个转转的钓鱼源码。
说一下这个源码的诈骗逻辑:网站前端通过抓取转转交易平台官方的商品页面,只是金额在前端显示被修改了,当用户在该虚假网站上执行支付流程时,网站会提交预设的另一个金额,然后调用微信支付。简单的说也就是你在这个网站买一块钱的东西,但是实际你支付的是一千块,并且你也不会真正的收到这个东西。
通过源码找到了开发者的一个演示站:zz.****.com
既然有源码,那就审计一波。首先声明一点,我不怎么会代码审计,所以太菜了,写文章只是觉得好玩,就写成文章分享出来,大佬们轻点喷!
这里借助审计工具seay来作为审计辅助工具
其实这里面,我第一反应是看到了id13,那里的echo存在可控变量,追上去看一下是什么。
m name="submitForm" method="post" action="post_data.php?gid=<?php echo $_GET['gid'];?>" id="submitForm">好家伙我的理解,对这个data.php,post传参id的时候变量可控,这里是传入到数据库的,因为没有看到黑名单或者白名单这一类,输入单引号’果然报错了。
这个位置存在sql注入,但是在演示站上测试发只有user权限,权限较低没办法直接写shell。
就在我跑注入点的时候头大的一批,因为不能getshell,于是回去又审计了一下源代码。emm.. 爽死了。
这明显是作者留了一个后门,激动的去目标网站看了一下,哎果然存在~
反手一个蚁剑连接
因为演示站是基于宝塔搭建的,拿到webshell后尝试突破disable function无果~
在源码中还发现了本套源码开发者的qq
【文末提示】
警惕该类电信诈骗,在购买商品时注意观察域名是否为官方域名。同时注意在被调起微信支付或支付宝支付的时候,显示的真正金额。
本文始发于微信公众号(台下言书):对某高仿转转交易平台的一次渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论