仿冒閑魚轉轉交易貓等二手實物、賬號交易平臺

早在2016年，就有人試圖低價購買別人的二手手機。 當時還沒有閑魚轉轉這樣的二手交易平臺。 如果你想買賣，只能通過社交軟件（QQ微信）進行買賣。 第一批騙子是直接在QQ上進行詐騙的。 金錢和勒索。

隨著二手交易平臺的誕生，近期出現了閑魚轉轉貓等二手實物商品和賬戶的交易平臺。 這時，騙子就抓住了機會，來了……以下是假冒閑魚的詐騙網站，一般用于連接**易購、*動等平臺的支付接口框架，如下

付款后釣魚網站，閑魚上不會出現任何訂單。 這筆錢將用于給詐騙者的QB充值或者為詐騙者的手機號碼充值話費。 即使你投訴訂單，你也會發現收款人是某家大公司。 比如**tesco和*dong，投訴也會失敗。

如果你不仔細看鏈接的域名（閑魚官方域名是），或者從網頁上復制閑魚用戶名在閑魚app上搜索，你將無法辨別真偽。假的。 很多人都會被愚弄。

然后我打算拿到這個釣魚網站的源代碼，進行代碼審計，找出其中的漏洞。

幸運的是，我通過搜索引擎搜索找到了源代碼（2020/11發布的應該與目標站點類似）

最后，在設置和調試服務器并在后臺修改信息后，我很快發現了一個允許未經授權寫入任意文件的漏洞。

靠著代碼審核的水平（這個閑魚釣魚站的代碼太離譜了！！！），我發現了這個垃圾洞，并在本地復現了出來。

確定成功。 看來我的想法是對的。最后直接去對方網站再試一下

結果……釣魚站改變了默認的后端地址，我用爆破的方式找到了后端地址。 最終的后端地址是/.php（嘿伙計們，我們走吧）

終于成功了

然后檢查.php數據庫賬號和密碼，上傳輕量級mysql，成功獲取后臺賬號和密碼。

發現不僅有閑魚產品，還存在假冒轉轉產品，且分工明確，存在多個用戶（實施詐騙的漁民用戶）

PS：（最后將騙子的QQ、源代碼、數據庫sql、域名、后臺登錄IP私信方式提交到admin登錄IP所在的XX市網警巡警執法局官方微博）

如果你問我為什么加水印，我發現很多論壇和博客都在克隆我最喜歡的帖子而不提及來源，所以他們必須添加我最喜歡的水印。

另外，我最近想找一份工作（關于web攻防）。 有人可以推薦我嗎？

--官方論壇

--推薦給朋友

Tags：后臺 騙子 賬號 釣魚 源碼