仿冒闲鱼转转交易猫等二手实物、账号交易平台

早在2016年，就有人试图低价购买别人的二手手机。 当时还没有闲鱼转转这样的二手交易平台。 如果你想买卖，只能通过社交软件（QQ微信）进行买卖。 第一批骗子是直接在QQ上进行诈骗的。 金钱和勒索。

随着二手交易平台的诞生，近期出现了闲鱼转转猫等二手实物商品和账户的交易平台。 这时，骗子就抓住了机会，来了……以下是假冒闲鱼的诈骗网站，一般用于连接**易购、*动等平台的支付接口框架，如下

付款后钓鱼网站，闲鱼上不会出现任何订单。 这笔钱将用于给诈骗者的QB充值或者为诈骗者的手机号码充值话费。 即使你投诉订单，你也会发现收款人是某家大公司。 比如**tesco和*dong，投诉也会失败。

如果你不仔细看链接的域名（闲鱼官方域名是），或者从网页上复制闲鱼用户名在闲鱼app上搜索，你将无法辨别真伪。假的。 很多人都会被愚弄。

然后我打算拿到这个钓鱼网站的源代码，进行代码审计，找出其中的漏洞。

幸运的是，我通过搜索引擎搜索找到了源代码（2020/11发布的应该与目标站点类似）

最后，在设置和调试服务器并在后台修改信息后，我很快发现了一个允许未经授权写入任意文件的漏洞。

靠着代码审核的水平（这个闲鱼钓鱼站的代码太离谱了！！！），我发现了这个垃圾洞，并在本地复现了出来。

确定成功。 看来我的想法是对的。最后直接去对方网站再试一下

结果……钓鱼站改变了默认的后端地址，我用爆破的方式找到了后端地址。 最终的后端地址是/.php（嘿伙计们，我们走吧）

终于成功了

然后检查.php数据库账号和密码，上传轻量级mysql，成功获取后台账号和密码。

发现不仅有闲鱼产品，还存在假冒转转产品，且分工明确，存在多个用户（实施诈骗的渔民用户）

PS：（最后将骗子的QQ、源代码、数据库sql、域名、后台登录IP私信方式提交到admin登录IP所在的XX市网警巡警执法局官方微博）

如果你问我为什么加水印，我发现很多论坛和博客都在克隆我最喜欢的帖子而不提及来源，所以他们必须添加我最喜欢的水印。

另外，我最近想找一份工作（关于web攻防）。 有人可以推荐我吗？

--官方论坛

--推荐给朋友

Tags：后台 骗子 账号 钓鱼 源码