Taoye渗透到一家黑平台总部，背后的事实细思极恐

说来惭愧，公主号已经停滞更新了许久，只有一个理由能解释这个结果，那就是懒惰。佛系更新，还请勿怪。

自深圳回来后，应同学之邀，到他家耍了几天，去之前听他说到了一些有意思的事情，什么四周环湖、划船出门、通宵钓鱼等等。对了，还提到他小时候村里小孩都是划船上学的，连80好几高龄的奶奶也是划船到对面陆地种植蔬菜。反正巴拉巴拉、阿巴阿巴说了一大堆，一下子激起了我对那里的兴趣，决定到他家那边一探究竟。

遗憾的是，本来说好了约上村里的几个朋友一起夜钓的，但奈何老天不给机会，风浪太大，只能到附近转悠、吃吃烤鱼、采摘莲蓬之类的。不过，不可置否的是，到了那里之后，才发现他所言不虚，那边的确是个不错的地方。诺，给上一小段视频看看：

今年的疫情，打破了人们正常的生活节奏，同时给一些心怀鬼胎的家伙有了可乘之机，那些网络安全防范较弱的人很有可能就会掉进无底之洞。轻则损失千来块钱，重则倾家荡产、妻离子散，毫不夸张。

一次在逛知乎的时候，偶然间看到一则伪装成投资客的文案，说什么只需要一部手机，分分钟收益过万，巴拉巴拉的，想想都有点刺激，部分为其所动的人还真的会被诱导进去。像Taoye这样的菜白帽，当然是要搞点事情的。于是乎，用小号加了下好友，社工套了点话，成功获取到平台的入口地址。

# 客户前台
https://XX.XXXXX.XX/XXX/XXXXX/login.html

通过交流，对方给我发了一个注册的二维码，扫描之后获取url，发现在最后有一个invitationCode参数，于此可知对方是这个平台的一个代理人，而这也正好验证了之前对他在知乎上的伪装成投资客身份的猜想。

拿到注册页面之后，先尝试用自己的手机号发送验证码，发现验证码是个四位数字形式，输入密码等信息，然后再刻意输入错误的验证码，短时间内频繁多次提交之后，发现平台的开发人员并没有对错误次数进行限制。找到这个任意注册的Bug之后，尝试随意用一个11位不存在的手机号，Burp拿到验证码，最后成功注册平台，username、password，login登录进去。

在登录客户端的同时，抓取与服务器交互的数据包，发现响应结果中含有superiorUsername字段，从而可以知道该客户背后的代理账号。

至此，现在的思路就是需要能够找到平台的后台登录地址，然后查看是否存在SQL注入漏洞或该代理是否设置了弱密码等等，进而一举进入到代理的后台界面。

尝试扫描该域名下的二级域名，发现除了上述的客户端二级域名之外，还解析了其他相关域名。之后通过前端代码审计环节，发现在前端config.js文件和login.html中暴露了多个代理角色的后台二级域名。

xxx后台：https://xxxx.xxxx.xx            xxx.xxx.xxx.xxx
xxx后台：https://xxxx.xxxx.xx            xxx.xxx.xxx.xxx
xxx后台：https://xxxx.xxxx.xx            xxx.xxx.xxx.xxx
xxx后台：https://xxxx.xxxx.xx            xxx.xxx.xxx.xxx
xxx后台：https://xxxx.xxxx.xx            xxx.xxx.xxx.xxx
xxx伪官网：https://xxxx.xxxx.xx            xxx.xxx.xxx.xxx
xxxx网页版：https://xxxx.xxxx.xx        xxx.xxx.xxx.xxx
下载链接：https://xxxx.xxxx.xx

到此，已经拿到了该平台后台登录地址，并知道了后台密码的正则格式，同时也不难发现后台采用的是Layui模板。遗憾的是，通过一顿SQL注入操作，发现该后台并不存在此漏洞。前面不是拿到了一个用户的上级代理么，不妨通过Top10000弱密码，然后通过正则筛选出符合密码格式的来试试。果不其然，弱密码大法好啊！

拿到代理后台权限之后，再通过适当的人肉，找到了该代理的一些相关信息：

抓包拿到总部1的账号，前面也有说过，在前端config.js文件和login.html中暴露了多个代理角色的后台二级域名，而总部与代理的后台之间时相互独立的，所以拿到账号之后，最终进入到了总部1的后台。

我滴个鬼鬼，不看不知道，一看吓一跳。在后台数据包中可以看见平台所有用户的姓名、手机号、地址、银行卡号等等私密信息，在此暴露的一览无余。

从后台记录的时间来看，该平台上线至今大概一个月，用户总充值了xxxxx，细思极恐，具体详细数据就不在这说明了。

另外，在总部1中，有个风控中心的权限，可以控制旗下所有代理的所有用户的涨跌，所有用户的投注结果都可以在此控制，想要你赢你就赢，想要你输你就输，你没有任何说话的权利，只有任人宰割的事实。

像这种平台，无论你输或赢，都会抽一定比例的手续费，即使你输赢各20局，看似平局，实则最终累计起来的手续费也有不菲了。

那么，流入黑平台的钱还能够追回来么？答案是肯定的，你在想P吃。类似这样的平台的充值系统，一般都是借用三方的，除非你能黑进银行、阿里巴巴等系统，亦或你能操作对方的手指给你转账。

所以，答应我，别碰这些玩意儿好么。

暂时就写到这吧，后面的内容也不太方便写在这。

总而言之，网络安全应当引起大家的高度重视，类似这种现象很是常见，但是万变不离其宗，攻击者主要是利用社会工程学 + 人们对事物的好奇心理来实行攻击。你的兴趣爱好、个人情感甚至是你的某一篇朋友圈等信息对于他们来说就富含了极大的价值，他们往往能够从中洞察一些别样的信息，也许这些不起眼的信息正是他成功攻击的关键。对于一些空穴来风的信息，我们应该要毫不犹豫的抵制。不要天真的以为这些离你还很远，等到来临的那一刻恐怕就为时已晚了。

就在前几天，还收到了几位QQ好友的私聊信息，发送的都是一些非正规平台，可见该QQ已然被钓鱼侵入。如下：

侵入者并不保证收到消息的好友就一定会上钩，但是1000个好友收到消息之后，总会有那么一些上当受骗，这就是一个概率问题。就像之前在书中看到的一则故事：

骗子通过电子邮件系统。发bai出数万封邮件。告诉你，他发明了一种软件，能预测足球比赛结果。这种软件可以用于足球彩票。
比如他发了4万封邮件。将比赛结果预测为两个。发给第一个2万人的邮件说某甲队伍将出线。发给第二个2万人说某乙将出线。显然，因为比赛无非出线和淘汰两种结果，因此必然有两万封邮件将正确预测到比赛结果。然后，再接下来的比赛中，他在剩下2万封邮件中继续预测。这次分为第一个10000封，第二个10000封。第一个10000封邮件中，他预测某丙队将出线。在第二个10000封邮件中，他预测某丁队将出线。显然，这一次，又有10000封邮件正确预测到了比赛结果。
如此往复。一直到冠军出现。这个时候，假设他已经预测了8场。显然，必然还剩下125封邮件，能准确预测到以上每一场比赛的结果。
假设收到这这125封邮件的人，有10%的人对这个软件感兴趣，愿意出钱购买这个软件。假设他这个软件很便宜，只卖1500元。这样，一场骗局下来，他至少能骗2万多元钱。如果他利用的邮件系统足够大，自动发邮件的能力足够强，他骗到的钱，将以几何倍数递增。

认真读到这里的读者，相信都是和Taoye一样怀揣着一颗想要不断提高自己的心，给你点个赞。原创不易啊，如果本文对各位有所帮助，还请关注+转发+再看，【三连】走一走啊。

下期见（下期不知何时），拜拜！