游泳

资深站长黑产蹂躏团购网站下一个或是互联网

2019-07-08 23:00:47来源:励志吧0次阅读

听闻嘀嗒团团购业务月底就结束了,相比之前的24券,这确实不算一件值得惋惜的事情,毕竟创始团队套现了,金主又不差钱。按照江湖规矩,还是要八一下嘀嗒团的事情。

嘀嗒团成立的时候,创始团队是谷歌出来的一批人,刚开始也没引起黑客的注意这个软件又没有快速恢复管理员密码的好办法,当时猛买,24券等等全数中招,在这个情况下戴书文立刻上了一个补丁,并且让各站长下载了一个密码恢复脚本。

对于这波冲击,这些站是不吃亏的,因为漏洞一旦公开,就会带来大面积的修复,对于这些创业者来说,损失其实不大,只不过大多站都没有做好安全善后工作,不仅有大量存留的后门(webshell),漏洞还没有被完全修复。这里做得最好的是猛买,第一次被黑后立刻醒悟,直接从源头制止了盲注。然而没过多久,嘀嗒团换了模板,就如同赵传那首歌的歌词一样立刻成为了猎人的目标。

这个漏洞该利用一个magic_quote被迫被关闭的情况,做了一个sql截断。攻击者可以用盲注获得用户表的内容,包括管理员的邮箱,用户名, 和加密后的密码。密码是salt + md5,固定盐,跑表也能破,但是还有更简单的方法,就是伪造cookie直接进入后台,即便进不了也没事,可以使用密码找回功能,构建一个修改密码的url,这个url里面的加密参数也可以被盲注出来。 光是有后台还没用,后台有一个通过修改模板拿shell的办法,shell拿到基本都能提权(提不了权也不影响拖库等),一套组合拳下来服务器就整个被端了。

不过有很多玩黑产的(号称黑客)并不彻底用技术,而是直接选择去社工管理员邮箱,这里又是八仙过海,什么龌龊的办法都能想得出来。我记得24券杜一楠邮箱被人贴出来是@gmail(xx代替了缺失的字母,不过很好猜),嘀嗒团的超级管理员则是一个姓段的员工,也是gmail,估计也被社工了不少,如果当事人有幸能看到这篇文章的话,应该能补充一下当时收了多少密码取回邮件,都是那一帮低端黑客弄的。

而我呢?我在呵呵。呵呵的原因是那个漏洞修复的方式实在太欢乐了,竟然只过滤了空格,要知道过滤攻防可是黑客的基本功啊,于是select * from user不能用了,但是select(*)from(user) 就用得好好的,即便括号被封了还可以用/**/这样的注释插入。据说后来like团偷偷过滤了几个关键字,但是依然被绕过,差点把我八块腹肌都笑出来你知道问题出在这还不修复地干脆点?跟入侵者过家家吗? 虽然我身在异国他乡,但是可以很明显感受到华丽地暴风雨就要来了。

到了2011年,团购进入了一个爆发年,京东团购也用了最土的模板,结果自然不说了(好在后来改了也换了),去那儿的团购也是最土,不过貌似很快就改了登陆方式,我没有仔细研究,驴妈妈也是类似的情况。不过2011年做得稍微有点规模(日订单1万多)的团购站都在拼命融资,这下黑产的人笑得开心啊。很多做名鞋库等公司飞单的黑产外围从业者也加入了这场大洗劫,还有一些更为狗血的八卦如阿丫团事件,细节就不说了。我记得走秀几次宣布融资还是跟ebay苟且的出来的时候,很多江湖传言一个做黑产代发货的老板豪门夜宴感谢美帝送钱来了。米奇宣布融资的时候,估计黑产业者比公司员工还要兴奋。

2011年下半年还有一件事,让我很没面子的,就是最土又暴露了一个大漏洞,这个漏洞的利用很简单,就是用火狐或者chrome,在input name = username的时候改成username[=1 or true#],这样成了一个数组,在build query的时候直接贴后面,就按照超级管理员的身份判定登录了。这招好强大啊,好犀利啊,好炫丽啊!尼玛我在那里要死要活捣鼓什么盲注啊,弱爆了有木有?这个技术细节的泄露下导致更大规模的黑产,但是也为后来双输埋下了伏笔。

这个漏洞被大规模公开还是在360,直接给出了修复手法,让众多站长禁止该表单提交的变量为数组。好处就是解决了很多低端小玩家,拖延了大家的存活时间。坏处则很明显,盲注流被保存了下来。

黑产由于良莠不齐,像24券这样的容易忽视的,以及嘀嗒团这样的只是简单对付一下的(嘀嗒团在乌云被爆过几次漏洞,但是厂家直接忽视,偷偷修复),自然就被大魔王和小鬼一起进来了,由于小鬼不太懂游戏规则,不尊重生态,太贪婪,导致最后大家都没饭吃,后来24券倒下的时候,整个电商黑产从业者依然兴致勃勃的搞其他站,没有那怕一丁点的反思。而整个团购站覆盖多少用户呢?去重可以有几千万之多,也就是黑产早已经拥有了几千万具有付费能力的用户,诈骗的直接一个过去:您好,请问是xxx吗?我是xx团的,请问您在上个月10号消费了xxx,对吗?之后就开始各类诈骗,这样的玩法基本上覆盖了整个女性消费b2c和团购(我还没听说过那家化妆品幸免的)。

2012年到了这个行业最疯狂的时候,因为洗牌了。洗牌的结果就是老板要开始卷款跑路,小兵也在A公司的钱(公司不发工资了,我自己想办法黑钱),于是这帮吸血鬼都在最后时刻把还没用掉的热钱榨取干净,通常这些公司现金流都不错,因为从用户手上收钱是即时到帐,但是跟商家结款是有一个回款期的,结果就是等商家上门的时候很可能已经人去楼空了。

这占据了大半个行业的悲剧,根源还是在于互联创业公司安全意识过于薄弱,整个就是一个宿主,最后垮掉是因为寄生虫太多,而垮掉后,这些寄生虫也就消停了,所以我前面说了是一个双输。但是寄生虫并没有死掉,他们还在别的地方潜伏着,继续等着下一个机会。这个机会也许就是最近热门的互联金融,x就是一个很好的案例。

.tag-editor {text-align: right;font-size: 12px;color: #717171;}.tag {float: left;}.tag a {margin-right: 10px;color: #0B3B8C;}

一些seo学习心得
什么是全网营销
蛋糕微信营销
分享到: