长亭百川云 - 文章详情

近期比较流行的一个诈骗事件

楼兰学习网络安全

51

2024-07-13

1. 背景描述

2. 诈骗手法简述

3. 诈骗事件详情

4. 渗透测试**
1. 背景描述**

周一的时候,朋友跟我说他朋友被骗了,然后我便分析了一下流程,希望大家及大家的家人朋友都可以不被骗。

2. 诈骗手法简述

对方的诈骗流程:

1,微博,攻击者把钓鱼链接在微博发给受害者

2,闲鱼,受害者在微博打开钓鱼网站,看到的是闲鱼的模样

3,支付宝,受害者点击支付按钮,会有支付宝的deeplink唤醒支付宝

4,第三方厂商(比如腾讯),打开支付宝后,跳转的是支付给第三方厂商的订单页面

黑客可以诈骗成功的原因:

黑客通过话术及钓鱼网站让受害者认为:“自己支付的是闲鱼的订单,只有自己在闲鱼点击确认收货后,钱才会转给对方,只要自己不点击确认收货那就没事“。

诈骗团队视角的亮点:

一次诈骗涉及了4个企业,单个企业很难做什么。

3. 诈骗事件详情

如下是黑客在微博发给小绵羊(受害者)的信息

小绵羊点击链接后:

http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172

点击"继续访问":

点击"我想要":

点击"提交订单":

点击"立即支付"后,会唤醒支付宝:

这里的收款方是一个另外的第三方企业(比如可以是"腾讯公司",黑客买Q币,然后选择用支付宝支付,这里就是在支付宝生成的那个订单号,收款方就是腾讯)

4. 渗透测试

我当初是在浏览器访问的下面这个链接,没法完整复现

http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172

其中有一个响应包是下面这样

于是我在请求包中手动添加了GoodsID3跟GoodsID2参数

跟进跳转然后在这个页面发现了SQL注入漏洞

看主机名应该是一个云服务器,以为这段时间学习的云安全知识终于派上用场了

阿里的云主机产品叫做ECS,于是申请了ECS,看到但是默认的主机名不是这个样子

所以这里用的应该是AWS的云主机:https://aws.amazon.com/cn/ecs/

数据库用户是普通用户权限,可以看到后台账户密码,可惜找不到后台,尝试其他方式也没有进展,止步于此。

枚举端点发现:http://limingpoq.top/admin/index.php

访问会302跳转到根目录,尝试更换UA、XFF都没有起作用

http://limingpoq.top/admin/index.php`UserAgent:*``失败`

http://limingpoq.top/admin/index.php`X-Forwarded-For:*``失败`

看一下骗子准备的商品吧:

每个商品都配备了对应的支付宝订单

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2