周一的时候,朋友跟我说他朋友被骗了,然后我便分析了一下流程,希望大家及大家的家人朋友都可以不被骗。2. 诈骗手法简述2,闲鱼,受害者在微博打开钓鱼网站,看到的是闲鱼的模样3,支付宝,受害者点击支付按钮,会有支付宝的deeplink唤醒支付宝4,第三方厂商(比如腾讯),打开支付宝后,跳转的是支付给第三方厂商的订单页面黑客通过话术及钓鱼网站让受害者认为:“自己支付的是闲鱼的订单,只有自己在闲鱼点击确认收货后,钱才会转给对方,只要自己不点击确认收货那就没事“。3. 诈骗事件详情
http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172这里的收款方是一个另外的第三方企业(比如可以是"腾讯公司",黑客买Q币,然后选择用支付宝支付,这里就是在支付宝生成的那个订单号,收款方就是腾讯)4. 渗透测试
http://limingpoq.top/h5.2.taobao/index2.php?te=32&ClickID=172于是我在请求包中手动添加了GoodsID3跟GoodsID2参数看主机名应该是一个云服务器,以为这段时间学习的云安全知识终于派上用场了阿里的云主机产品叫做ECS,于是申请了ECS,看到但是默认的主机名不是这个样子所以这里用的应该是AWS的云主机:https://aws.amazon.com/cn/ecs/数据库用户是普通用户权限,可以看到后台账户密码,可惜找不到后台,尝试其他方式也没有进展,止步于此。枚举端点发现:http://limingpoq.top/admin/index.php访问会302跳转到根目录,尝试更换UA、XFF都没有起作用http://limingpoq.top/admin/index.phpUserAgent:*
失败
http://limingpoq.top/admin/index.phpX-Forwarded-For:*
失败
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4ODU4ODYzOQ==&mid=2247485114&idx=1&sn=f041299ba53b1fbb4303e80b0dff0195&chksm=cff9968af88e1f9ca7cd4a3e9be0eaa2839163f1ddde0c72308870e4814774bef83f098808aa#rd
如有侵权请联系:admin#unsafe.sh