对某高仿转转交易平台的一次渗透

本文来自网友投稿，ID：Whirlwind 单挑

无聊的一天，一位网友好兄弟，发给了我一套源码，刚看到很懵逼，不过打开之后全都明白了，一个转转的钓鱼源码。

说一下这个源码的诈骗逻辑：网站前端通过抓取转转交易平台官方的商品页面，只是金额在前端显示被修改了，当用户在该虚假网站上执行支付流程时，网站会提交预设的另一个金额，然后调用微信支付。简单的说也就是你在这个网站买一块钱的东西，但是实际你支付的是一千块，并且你也不会真正的收到这个东西。

通过源码找到了开发者的一个演示站：zz.****.com

既然有源码，那就审计一波。首先声明一点，我不怎么会代码审计，所以太菜了，写文章只是觉得好玩，就写成文章分享出来，大佬们轻点喷！

这里借助审计工具seay来作为审计辅助工具

其实这里面，我第一反应是看到了id13，那里的echo存在可控变量，追上去看一下是什么。

m name="submitForm" method="post" action="post_data.php?gid=<?php echo $_GET['gid'];?>" id="submitForm">

好家伙我的理解，对这个data.php，post传参id的时候变量可控，这里是传入到数据库的，因为没有看到黑名单或者白名单这一类，输入单引号’果然报错了。

这个位置存在sql注入，但是在演示站上测试发只有user权限，权限较低没办法直接写shell。

就在我跑注入点的时候头大的一批，因为不能getshell，于是回去又审计了一下源代码。emm.. 爽死了。

这明显是作者留了一个后门，激动的去目标网站看了一下，哎果然存在~

反手一个蚁剑连接

因为演示站是基于宝塔搭建的，拿到webshell后尝试突破disable function无果~

在源码中还发现了本套源码开发者的qq

【文末提示】

警惕该类电信诈骗，在购买商品时注意观察域名是否为官方域名。同时注意在被调起微信支付或支付宝支付的时候，显示的真正金额。

本文始发于微信公众号（台下言书）：对某高仿转转交易平台的一次渗透