记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

对某高仿转转交易平台的一次渗透

2020-11-22 13:30

本文来自网友投稿,ID:Whirlwind 单挑

无聊的一天,一位网友好兄弟,发给了我一套源码,刚看到很懵逼,不过打开之后全都明白了,一个转转的钓鱼源码。

说一下这个源码的诈骗逻辑:网站前端通过抓取转转交易平台官方的商品页面,只是金额在前端显示被修改了,当用户在该虚假网站上执行支付流程时,网站会提交预设的另一个金额,然后调用微信支付。简单的说也就是你在这个网站买一块钱的东西,但是实际你支付的是一千块,并且你也不会真正的收到这个东西。


通过源码找到了开发者的一个演示站:zz.****.com


既然有源码,那就审计一波。首先声明一点,我不怎么会代码审计,所以太菜了,写文章只是觉得好玩,就写成文章分享出来,大佬们轻点喷!


这里借助审计工具seay来作为审计辅助工具


其实这里面,我第一反应是看到了id13,那里的echo存在可控变量,追上去看一下是什么。

m name="submitForm" method="post" action="post_data.php?gid=<?php echo $_GET['gid'];?>" id="submitForm">

好家伙我的理解,对这个data.php,post传参id的时候变量可控,这里是传入到数据库的,因为没有看到黑名单或者白名单这一类,输入单引号’果然报错了。


这个位置存在sql注入,但是在演示站上测试发只有user权限,权限较低没办法直接写shell。

就在我跑注入点的时候头大的一批,因为不能getshell,于是回去又审计了一下源代码。emm.. 爽死了。


这明显是作者留了一个后门,激动的去目标网站看了一下,哎果然存在~


反手一个蚁剑连接

因为演示站是基于宝塔搭建的,拿到webshell后尝试突破disable function无果~


在源码中还发现了本套源码开发者的qq



文末提示

警惕该类电信诈骗,在购买商品时注意观察域名是否为官方域名。同时注意在被调起微信支付或支付宝支付的时候,显示的真正金额。


知识来源: https://mp.weixin.qq.com/s?__biz=MzIyNDkwNjQ5Ng==&mid=2247484333&idx=1&sn=e647e30da7d1856d6c6f5adcb441e008

阅读:9413 | 评论:0 | 标签:渗透

想收藏或者和大家分享这篇好文章→复制链接地址

“对某高仿转转交易平台的一次渗透”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云