作者論壇賬號：phpstudy1

早在16年那一段時間，有些人圖便宜買別人的二手手機，當時沒有閑魚 轉(zhuǎn)轉(zhuǎn)等二手交易平臺，想買賣只能通過社交軟件（QQ微信），最先的騙子就是直接在QQ騙錢然后拉黑。

隨著二手交易平臺的誕生，最近一段時間出現(xiàn)了仿冒閑魚 轉(zhuǎn)轉(zhuǎn) 交易貓等二手實物、賬號的交易平臺，這時候，騙子抓住機會也來了....如下就是仿冒閑魚的詐騙站 一般都是對接的**易購、*東等平臺的支付接口 框架用的thinkphp，如下

支付后，閑魚并不會出現(xiàn)任何訂單 這筆錢就給騙子的QQ充值了QB 或者就給騙子的手機號充了話費 即使你投訴了該筆訂單，也會發(fā)現(xiàn)收款方是一些大公司 如**易購、*東，chinabe.cn，投訴也會失敗

不仔細看鏈接的域名（官方的閑魚域名是2.taobao.com），或者復制網(wǎng)頁的閑魚用戶名去閑魚app搜索，根本無法分辨真假 很多人就上當了
然后我打算搞到這個釣魚站的源碼 然后進行代碼審計 找到漏洞
運氣不錯 通過搜索引擎檢索找到了源碼（2020/11發(fā)布的 應該和目標站差不多）

最后在服務器搭建并調(diào)試 在后臺修改信息那里很快就找到了一個未授權(quán)任意文件寫入的洞子

靠著代碼審計水平(這閑魚釣魚站代碼寫的就離譜了?。?！)，找到了這垃圾洞，直接本地復現(xiàn)一下

ok成功?？磥砦宜悸窙]錯。最后直接去對方網(wǎng)站，來一遍getshell
結(jié)果...釣魚站把默認的后臺地址改了 我用python爆破了下后臺地址，最后后臺地址是/admin888.php（好家伙，發(fā)發(fā)發(fā)?。?br>最后成功getshell

然后我查看了config.php的數(shù)據(jù)庫賬號密碼 、上傳了輕量級mysql，成功拿到了后臺的賬號密碼
發(fā)現(xiàn)不僅有閑魚商品 還有仿冒轉(zhuǎn)轉(zhuǎn)的，且分工明確 有多個用戶（實施詐騙的漁夫user）
PS：（最后我把騙子的QQ、源碼、數(shù)據(jù)庫sql、域名、后臺登錄IP私信方式提交給了admin登錄IP所在地的XX市網(wǎng)警巡查執(zhí)法官方微博）
如果問我為什么加水印，我發(fā)現(xiàn)很多論壇和博客在克隆吾愛的帖子且不備注來源 只好加上吾愛的水印
另外我最近想找個工作（關(guān)于web攻防的）大家推薦下哈

論壇原帖地址：https://www.52pojie.cn/thread-1481655-1-1.html