对某高仿转转交易平台的一次渗透

  • A+
所属分类:安全文章

本文来自网友投稿,ID:Whirlwind 单挑

无聊的一天,一位网友好兄弟,发给了我一套源码,刚看到很懵逼,不过打开之后全都明白了,一个转转的钓鱼源码。

对某高仿转转交易平台的一次渗透

说一下这个源码的诈骗逻辑:网站前端通过抓取转转交易平台官方的商品页面,只是金额在前端显示被修改了,当用户在该虚假网站上执行支付流程时,网站会提交预设的另一个金额,然后调用微信支付。简单的说也就是你在这个网站买一块钱的东西,但是实际你支付的是一千块,并且你也不会真正的收到这个东西。


通过源码找到了开发者的一个演示站:zz.****.com

对某高仿转转交易平台的一次渗透


既然有源码,那就审计一波。首先声明一点,我不怎么会代码审计,所以太菜了,写文章只是觉得好玩,就写成文章分享出来,大佬们轻点喷!

对某高仿转转交易平台的一次渗透


这里借助审计工具seay来作为审计辅助工具

对某高仿转转交易平台的一次渗透


其实这里面,我第一反应是看到了id13,那里的echo存在可控变量,追上去看一下是什么。

对某高仿转转交易平台的一次渗透

m name="submitForm" method="post" action="post_data.php?gid=<?php echo $_GET['gid'];?>" id="submitForm">

好家伙我的理解,对这个data.php,post传参id的时候变量可控,这里是传入到数据库的,因为没有看到黑名单或者白名单这一类,输入单引号’果然报错了。

对某高仿转转交易平台的一次渗透

对某高仿转转交易平台的一次渗透


这个位置存在sql注入,但是在演示站上测试发只有user权限,权限较低没办法直接写shell。

对某高仿转转交易平台的一次渗透

就在我跑注入点的时候头大的一批,因为不能getshell,于是回去又审计了一下源代码。emm.. 爽死了。

对某高仿转转交易平台的一次渗透


这明显是作者留了一个后门,激动的去目标网站看了一下,哎果然存在~

对某高仿转转交易平台的一次渗透


反手一个蚁剑连接

对某高仿转转交易平台的一次渗透

因为演示站是基于宝塔搭建的,拿到webshell后尝试突破disable function无果~


在源码中还发现了本套源码开发者的qq

对某高仿转转交易平台的一次渗透



文末提示

警惕该类电信诈骗,在购买商品时注意观察域名是否为官方域名。同时注意在被调起微信支付或支付宝支付的时候,显示的真正金额。

本文始发于微信公众号(台下言书):对某高仿转转交易平台的一次渗透

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: