「來源： ｜豬豬談安全 ID：zzt-anquan」

2021-10-08 7 min read

該文章首發先知社群：https：//xz。aliyun。com/t/10391

一。概述

1。1某天，一位網上朋友告訴筆者，他被騙了。被騙方式很獨特，因為自己沒錢所以選擇貸款，在貸款過程中慘遭詐騙。

1。2詐騙簡訊：

1。3詐騙過程（此處受害者用小輝代替）：

某日，小輝手機收到一條關於網路貸款的簡訊，恰逢月底，捉襟見肘，小輝沒忍住誘惑下載打開了app。註冊好賬號，填寫好身份證號、手持、工作地點、家人資訊等後申請了20000元貸款，但是遲遲沒到賬，小輝詢問客服得知：親，這邊申請貸款需要先繳納688的VIP費用哦，繳納後VIP費用會連同貸款金額一起打款到您的銀行卡賬戶。小輝想了想，也不虧，於是將下個月房租開通了VIP待遇。

小輝開通了VIP待遇，以為就能順利貸款度過月底，但是還是沒收到貸款金額以及VIP費用。這次客服主動聯絡小輝，“您的信用額度不夠，需要再刷流水3500元，請繳納現金證明還款能力，繳納後費用會連同貸款金額一起打款到您的銀行卡賬戶”。

小輝急了，眼看著下個月房租沒著落了，咬咬牙找朋友借了3500元再次打給客服提供的銀行卡號，心想，這次你總沒什麼藉口了吧！20000塊錢，拿來吧你！小輝已經想好貸款下來兩萬塊如何吃喝玩樂了，857857～～～

可是幸運女神還是沒有照顧小輝，客服再次聯絡小輝，稱已經審批成功即將下款，但是還需要支付3000的工本費用，且費用會連同貸款金額一起打款到銀行卡賬戶，小輝傻眼了，緊接著，客服將後臺生成的虛假的合同傳送給了小輝。

小輝急了，自己就貸個款而已，卻損失了幾千塊錢還要上徵信，關鍵貸款的錢還沒到手！小輝眼看著事情越鬧越大，找到了我，經過小輝的一番描述，我查看了小輝手機上的貸款軟體，無奈的告訴小輝，你被騙了，錢要不回來了。小輝此刻也愣住了，流下來悔恨的淚水……

ps：以上僅為詐騙真實過程，所有細節旁白均為本人添油加醋。筆者也就此對市面上兩款常見詐騙原始碼進行簡單分析並將其記錄。

二。漏洞分析

2。1 第一套原始碼漏洞分析

2。1。1 Thinkphp日誌洩漏

基於Thinkphp3。2。3開發，前後臺分離

預設開啟Debug、導致洩漏日誌SQL資訊、異常快取

構造Payload：App/Runtime/Logs/21_10_16。log

獲取洩漏的admin表賬號密碼

進入後臺

2。1。2 陣列可控導致RCE

可上傳檔名被直接帶入資料包中

此處猜測後端將檔名以陣列的方式進行控制（在拿到webshell後也證明了這個猜想是正確的）

將可上傳的檔名加入php，隨後上傳拿到Webshell

檢視對應配置檔案，發現可上傳字尾名是在陣列當中，此處還可以利用插入閉合陣列進行Getshell

payload：siteName=11111‘）。phpinfo（）；//

來看看後端如何處理的，因為return array的原因 必須加上字串連線符“。”

再登陸後臺檢視Payload是否執行

2。2 第二套原始碼漏洞分析

2。2。1 客服處Websocket-XSS

筆者能力有限，第二套詐騙貸款原始碼疑似一鍵搭建，均採用最新版寶塔+寶塔免費版WAF，在許可權獲取方面不足，轉而向客服處尋找突破點

前臺：

找到客服入口，上傳圖片，會轉到透過websocket上傳的資料包

修改websocket資料包，構造XSS

Cookie Get

三。客服系統控制/PC控制

3。1控制資料庫

登陸mysql資料庫檢視詐騙嫌疑人登陸IP

杭州的電信基站動態IP，判斷是家庭路由，暫無溯源價值。

3。2控制客服系統

第一套詐騙原始碼的客服系統使用的是網上線上客服系統

在後臺翻到了客服的後臺登陸地址，前端顯示賬號存在or密碼錯誤，無奈賬號沒爆破成功。

隨即筆者自己註冊了該客服系統，透過adminid配合uid遍歷SetCookie，越權成功，拿到客服賬號。

中文賬號==

爆破拿到密碼

登陸客服後臺

整個詐騙話術鏈

與受害人聊天記錄

3。3使用flash釣魚

在控制詐騙app伺服器許可權後，筆者使用flash釣魚試圖控制詐騙團伙個人PC。

在後臺登陸成功後跳轉的檔案插入跳轉js 跳轉到事先準備好的假的flash更新頁面

事先準備：免殺馬一隻 flash假域名一個（最好是包含有“flash”的字樣）

效果：

輸入賬號密碼後登入，此時載入以上JavaScript。

點選“確認”跳轉到事先偽造的flash更新頁面網站，誘導下載點選。

但是最後並未上線，透過日誌發現詐騙團伙是登陸了該後臺的，此處也算是一個小遺憾。

四。總結

網貸詐騙類案件的典型特徵是，犯罪嫌疑人以“無抵押無稽核”為噱頭招攬需要貸款的被害人，並以“賬戶凍結需做解凍”才能完成放款等名義收取保證金，又以保險費、啟用費、服務費等名義再次收費。被害人為了收回之前繳納的錢款，只能按照犯罪嫌疑人為被害人設計的整個流程，完成轉款，導致被害人錢款被騙。一些急需用錢的個體經營者、消費觀念超前的上班族、大學生等人群是易受騙群體。

詐騙者不僅僅將罪惡之手伸向了香港、臺灣，甚至是國外……

據分析，這群詐騙團伙在巴西也進行了相同方式的詐騙，且使用的詐騙原始碼為以上分析第一套原始碼。

500餘名巴西受害者。

天網恢恢，疏而不漏！所有行惡之人必將受到法律之嚴懲！