近期比较流行的一个诈骗事件

1. 背景描述

2. 诈骗手法简述

3. 诈骗事件详情

4. 渗透测试**
1. 背景描述**

周一的时候，朋友跟我说他朋友被骗了，然后我便分析了一下流程，希望大家及大家的家人朋友都可以不被骗。

2. 诈骗手法简述

对方的诈骗流程：

1，微博，攻击者把钓鱼链接在微博发给受害者

2，闲鱼，受害者在微博打开钓鱼网站，看到的是闲鱼的模样

3，支付宝，受害者点击支付按钮，会有支付宝的deeplink唤醒支付宝

4，第三方厂商（比如腾讯），打开支付宝后，跳转的是支付给第三方厂商的订单页面

黑客可以诈骗成功的原因：

黑客通过话术及钓鱼网站让受害者认为：“自己支付的是闲鱼的订单，只有自己在闲鱼点击确认收货后，钱才会转给对方，只要自己不点击确认收货那就没事“。

诈骗团队视角的亮点：

一次诈骗涉及了4个企业，单个企业很难做什么。

3. 诈骗事件详情

如下是黑客在微博发给小绵羊（受害者）的信息

小绵羊点击链接后：

点击"继续访问"：

点击"我想要"：

点击"提交订单"：

点击"立即支付"后，会唤醒支付宝：

这里的收款方是一个另外的第三方企业（比如可以是"腾讯公司"，黑客买Q币，然后选择用支付宝支付，这里就是在支付宝生成的那个订单号，收款方就是腾讯）

我当初是在浏览器访问的下面这个链接，没法完整复现

其中有一个响应包是下面这样

于是我在请求包中手动添加了GoodsID3跟GoodsID2参数

跟进跳转然后在这个页面发现了SQL注入漏洞

看主机名应该是一个云服务器，以为这段时间学习的云安全知识终于派上用场了

阿里的云主机产品叫做ECS，于是申请了ECS，看到但是默认的主机名不是这个样子

所以这里用的应该是AWS的云主机：https://aws.amazon.com/cn/ecs/

数据库用户是普通用户权限，可以看到后台账户密码，可惜找不到后台，尝试其他方式也没有进展，止步于此。

访问会302跳转到根目录，尝试更换UA、XFF都没有起作用