近期比较流行的一个诈骗事件

渗透技巧 10个月前 admin
471 0 0
1. 背景描述
2. 诈骗手法简述
3. 诈骗事件详情
4. 渗透测试
1. 背景描述
周一的时候,朋友跟我说他朋友被骗了,然后我便分析了一下流程,希望大家及大家的家人朋友都可以不被骗。

2. 诈骗手法简述

对方的诈骗流程:
1,微博,攻击者把钓鱼链接在微博发给受害者
2,闲鱼,受害者在微博打开钓鱼网站,看到的是闲鱼的模样
3,支付宝,受害者点击支付按钮,会有支付宝的deeplink唤醒支付宝
4,第三方厂商(比如腾讯),打开支付宝后,跳转的是支付给第三方厂商的订单页面


黑客可以诈骗成功的原因:
黑客通过话术及钓鱼网站让受害者认为:“自己支付的是闲鱼的订单,只有自己在闲鱼点击确认收货后,钱才会转给对方,只要自己不点击确认收货那就没事“。


诈骗团队视角的亮点:
一次诈骗涉及了4个企业,单个企业很难做什么。

3. 诈骗事件详情

如下是黑客在微博发给小绵羊(受害者)的信息
近期比较流行的一个诈骗事件
小绵羊点击链接后:
http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172
近期比较流行的一个诈骗事件
点击”继续访问”:
近期比较流行的一个诈骗事件
点击”我想要”:
近期比较流行的一个诈骗事件
点击”提交订单”:
近期比较流行的一个诈骗事件
点击”立即支付”后,会唤醒支付宝:
这里的收款方是一个另外的第三方企业(比如可以是”腾讯公司”,黑客买Q币,然后选择用支付宝支付,这里就是在支付宝生成的那个订单号,收款方就是腾讯)
近期比较流行的一个诈骗事件

4. 渗透测试

我当初是在浏览器访问的下面这个链接,没法完整复现
http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172
其中有一个响应包是下面这样
近期比较流行的一个诈骗事件
于是我在请求包中手动添加了GoodsID3跟GoodsID2参数
近期比较流行的一个诈骗事件
跟进跳转然后在这个页面发现了SQL注入漏洞
近期比较流行的一个诈骗事件
看主机名应该是一个云服务器,以为这段时间学习的云安全知识终于派上用场了
近期比较流行的一个诈骗事件
阿里的云主机产品叫做ECS,于是申请了ECS,看到但是默认的主机名不是这个样子
近期比较流行的一个诈骗事件
所以这里用的应该是AWS的云主机:https://aws.amazon.com/cn/ecs/
数据库用户是普通用户权限,可以看到后台账户密码,可惜找不到后台,尝试其他方式也没有进展,止步于此。
近期比较流行的一个诈骗事件
枚举端点发现:http://limingpoq.top/admin/index.php
访问会302跳转到根目录,尝试更换UA、XFF都没有起作用
http://limingpoq.top/admin/index.phpUserAgent:*失败
http://limingpoq.top/admin/index.phpX-Forwarded-For:*失败
看一下骗子准备的商品吧:
近期比较流行的一个诈骗事件
每个商品都配备了对应的支付宝订单
近期比较流行的一个诈骗事件

原文始发于微信公众号(楼兰学习网络安全):近期比较流行的一个诈骗事件

版权声明:admin 发表于 2023年6月1日 下午10:16。
转载请注明:近期比较流行的一个诈骗事件 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...