仗剑反黑--初步取证某上亿流水的第四方支付平台

  • A+
所属分类:安全文章

本帖已于 2019-05-14 14:25:41加入社区精华!严禁转载抄袭!


作者:阿皮

人人大佬计划第四期学员~(彼之秀不及吾之皮也)


仗剑反黑--初步取证某上亿流水的第四方支付平台

前情提要#

首先,支付渠道本身是没有问题的。

但是这个行业一不留神就支撑了黑灰产业的半边天,

电诈/色情/传销&空气币/菠菜等不法网站需要将钱藏起来~


通俗的讲就是常说的 洗钱


他们游走在法律边缘,存活的公司非常多,他们为违法团伙提供便利,从资金中抽取3~15%的手续费从而谋取暴利。

他们存在,给一线执法工作带增加很大的难度,使得很多黑产团伙逍遥法外。也给人民群众带来巨额经济损失,同时也扰乱了金融秩序等。


受制于种种客观原因,本文只是从纯技术的角度来分享。


本文纯属虚构,如有雷同必是巧合~


一些看法#

黑产违法团伙异常狡猾,用不怕累死安全人员的方法:

让人时刻盯着服务器进程,每晚重装服务器,锁死Web目录等等。

取证路上异常艰险,但是他们搭建这样一个平台也无非就是为了钱

有钱就有洗钱渠道。

所以,我们可以把目标盯到第四方支付通道。

思路就是团长说的五个点位


广搜集,精工具,懂审计,潜内网,保成果


打到内部通过社工或者其他的信息搜集在慢慢摸排即可。

文章展开#

2019年初,经上级领导指示,我们开始了取证之路,因为涉及很多后续的东西,征得同意,我们只把WEB突破这一块给大家简单分享一下。


首先,来到使用这个渠道的其中一个涉案的违法平台,点开充值。

仗剑反黑--初步取证某上亿流水的第四方支付平台

这时候跳到第三方支付渠道,我们得到了网站。

经过研判,发现该渠道并没有支付牌照。

基本上是属于那种群控收钱的站~

仗剑反黑--初步取证某上亿流水的第四方支付平台

关于第四方支付商的一般类似这种:


仗剑反黑--初步取证某上亿流水的第四方支付平台


也有这种~反正就是盗用很多人的身份进行收钱洗钱~


仗剑反黑--初步取证某上亿流水的第四方支付平台


单刀直入#

访问首页,经过测试。

发现使用的是TP5框架,开启了debug模式

其次站点使用强力的waf进行拦截payload。

仗剑反黑--初步取证某上亿流水的第四方支付平台

通过团队的信息搜集,我们建立起了该域名的多出资产模型。

通过使用代理池进行资产扫描,并未发现太多可利用的信息。


可能很多人搞到这个地方,就开始急了慌了。


但在团长的教导下,我们越是没有进展越是要回过头梳理已有的线索。


其实很多时候,不是我们没有口子,而是口子已经在手里了,我们往往为了发现更直接的口子,没有去详细梳理、利用。


再次打开7kb师傅的爆破神器~



仗剑反黑--初步取证某上亿流水的第四方支付平台


经过对其中一个旁站的敏感目录探测,发现了存在的日志文件/runtime/log_2019_01_17.log


仗剑反黑--初步取证某上亿流水的第四方支付平台


通过分析日志文件(有访问的URL),且发现了这个域名资产,存在admin默认后台,存在代理后台。


仗剑反黑--初步取证某上亿流水的第四方支付平台


打开登陆之


仗剑反黑--初步取证某上亿流水的第四方支付平台

简单看了下,发现验证码基本上是形同虚设~


仗剑反黑--初步取证某上亿流水的第四方支付平台

通过日志文件中的登陆URL 获取到其中一个代理号权限。

仗剑反黑--初步取证某上亿流水的第四方支付平台

近日资金情况,哗哗的都是钱~

初步统计,已经过亿了。。

仗剑反黑--初步取证某上亿流水的第四方支付平台

这个代理号的商户下级,非常直观的可以看出来 站点的名字..等等

仗剑反黑--初步取证某上亿流水的第四方支付平台

订单情况

仗剑反黑--初步取证某上亿流水的第四方支付平台

思索一下,肯定还有其他高级商户。#

但是,我怎么弄到管理员权限呢?

因为这几天管理员没登陆,所以就日志里没他的信息。

目测现在手里的权限是高级代理。

那就,让管理员发现有人坏了他们好事,好改这个代理的密码。

于是乎,开展下一步。

引诱管理员对控制的高级代理进行风控操作,修改密码等。

从而结合日志跟一个小的漏洞,打一套组合拳。

仗剑反黑--初步取证某上亿流水的第四方支付平台

果不然,商户在发现无法登陆时,向管理员求助。

管理员成功上钩~

如上图:

由此获取到了网站管理员权限。

在后台发现商户的服务器地址,多数均为内网。


仗剑反黑--初步取证某上亿流水的第四方支付平台

由于规模问题,权限最为保障的就是后台权限,如果内网存在流量监控或者其他的防御产品,会查杀出木马他们就会全部整顿。

所以,先暂停先摸排,先梳理他们的商户与平台的流程与关系。

提款方面,并没有API供自动提款,观看提款申请与到账处理时间,发现为人工审核。

仗剑反黑--初步取证某上亿流水的第四方支付平台

充值方面,用户在违法站点提交充值订单,如果没充值的话,订单会显示在高级商户处。

可以手工点击已付款,并且平台直面上没有任何记录及短信通知。

流程就是,用户付完款,违法平台的管理者会登陆支付渠道查看是否充值到账,如果充值到账后再在违法站点后台点击充值成功。

资金梳理,违法站点可控的资金只是自身平台的金额。

并无法直接控制第三方娱乐系统的金额,比如著名的违法赌博网站的包网接口商Ag,如果把自身平台的金额转移到Ag,就绕过了违法平台的直接管控。

对商户梳理,发现平行越权一枚,后台权限可以任意登陆/编辑高级商户


仗剑反黑--初步取证某上亿流水的第四方支付平台

对整体资产梳理,存在多个平台,多个下级代理。层次分明,管理平台权限较大。

图示:后台查看商户订单金额

仗剑反黑--初步取证某上亿流水的第四方支付平台

固定电子证据后,已及时移交

截止发稿,编辑查看该网站已经被取缔。

据办案部门通知,日前检察院已提起公诉。

赞一个咱们的执法部门,越来越高效!~




欢迎关注 圈子社区官方公众号,不花一混钱,享受最新实战动态!


公益,鲜活,专业

关于圈子社区
圈子社区是一个非盈利,封闭的白帽子技术交流社区。目前成员已有近2000人,拥有业内首个自主研发的红蓝实战靶场,体系化学习和燃爆的交流气氛带你成为真正的大佬,社区专注实战,崇尚技术,如果你也是实战派,请关注我们。
社区地址:(请使用https访问)
https://www.secquan.org

仗剑反黑--初步取证某上亿流水的第四方支付平台


本文始发于微信公众号(Secquan圈子社区):仗剑反黑--初步取证某上亿流水的第四方支付平台

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: