1. 背景描述
2. 诈骗手法简述
3. 诈骗事件详情
4. 渗透测试**
1. 背景描述**
周一的时候,朋友跟我说他朋友被骗了,然后我便分析了一下流程,希望大家及大家的家人朋友都可以不被骗。
2. 诈骗手法简述
对方的诈骗流程:
1,微博,攻击者把钓鱼链接在微博发给受害者
2,闲鱼,受害者在微博打开钓鱼网站,看到的是闲鱼的模样
3,支付宝,受害者点击支付按钮,会有支付宝的deeplink唤醒支付宝
4,第三方厂商(比如腾讯),打开支付宝后,跳转的是支付给第三方厂商的订单页面
黑客可以诈骗成功的原因:
黑客通过话术及钓鱼网站让受害者认为:“自己支付的是闲鱼的订单,只有自己在闲鱼点击确认收货后,钱才会转给对方,只要自己不点击确认收货那就没事“。
诈骗团队视角的亮点:
一次诈骗涉及了4个企业,单个企业很难做什么。
如下是黑客在微博发给小绵羊(受害者)的信息
小绵羊点击链接后:
http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172
点击"继续访问":
点击"我想要":
点击"提交订单":
点击"立即支付"后,会唤醒支付宝:
这里的收款方是一个另外的第三方企业(比如可以是"腾讯公司",黑客买Q币,然后选择用支付宝支付,这里就是在支付宝生成的那个订单号,收款方就是腾讯)
我当初是在浏览器访问的下面这个链接,没法完整复现
http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172
其中有一个响应包是下面这样
于是我在请求包中手动添加了GoodsID3跟GoodsID2参数
跟进跳转然后在这个页面发现了SQL注入漏洞
看主机名应该是一个云服务器,以为这段时间学习的云安全知识终于派上用场了
阿里的云主机产品叫做ECS,于是申请了ECS,看到但是默认的主机名不是这个样子
所以这里用的应该是AWS的云主机:https://aws.amazon.com/cn/ecs/
数据库用户是普通用户权限,可以看到后台账户密码,可惜找不到后台,尝试其他方式也没有进展,止步于此。
枚举端点发现:http://limingpoq.top/admin/index.php
访问会302跳转到根目录,尝试更换UA、XFF都没有起作用
http://limingpoq.top/admin/index.php`UserAgent:*``失败`
http://limingpoq.top/admin/index.php`X-Forwarded-For:*``失败`
看一下骗子准备的商品吧:
每个商品都配备了对应的支付宝订单