充话费送手机背后的骗局
字数 1388 2025-08-15 21:31:19

充话费送手机骗局分析与渗透测试技术教学

骗局手法分析

1. 诱骗流程

  • 街头拦截:利用免费赠品(充电宝)吸引受害者进店
  • 积分查询:通过短信查询号码积分,夸大积分价值(1800分)
  • 奖品诱惑:展示奖品清单(平板电脑位于最高积分档)
  • 信用验证:要求查看支付宝信用分,制造"专属特权"假象
  • 话费预存:以"预存话费3999送平板"为名实施诈骗
  • 强制开户:未经确认直接开户并预存话费,制造既成事实

2. 技术支撑

  • 非官方平台:使用仿冒运营商的自建平台(xx.xxxx.xx)
  • 短期域名:域名即将到期(2020年11月)
  • 异常企业:背后公司显示"经营异常"

渗透测试技术教学

1. 信息收集阶段

  1. 域名解析

    • 通过短链接获取真实URL
    • 使用站长工具查询域名信息
    • 确认服务器托管于阿里云,未启用CDN

  2. 端口扫描

    nmap -p 1-65355 xx.xxxx.xx
    • 发现开放端口:80(HTTP)、22(SSH)

  3. Web应用识别

    • 发现两个登录界面:
      • 用户登录:/admin/user/login
      • 管理后台:/admin/login

2. 漏洞挖掘技术

水平越权漏洞

  1. 发现过程

    • 使用Burp Suite拦截登录请求
    • 观察请求参数为明文传输
    • 修改mobile参数尝试登录其他用户

  2. 验证方法

    • 替换手机号参数成功登录其他账户
    • 确认系统缺乏用户会话隔离机制

XSS漏洞

  1. 测试方法
    • 在管理后台登录处发现账号内容直接输出在value属性
    • 构造XSS Payload: 
      "><script>alert(/xss/)</script>
    • 确认反射型XSS存在

Shiro反序列化漏洞

  1. 识别特征

    • 响应包中包含rememberMe=deleteMe字样
    • 使用公开exp验证漏洞存在

  2. 利用方法

    • 通过命令执行框确认漏洞
    • 在/css目录下生成验证文件(5663.js)
    • 上传Webshell获取控制权

3. 内网渗透技术

数据库访问

  1. 发现数据库配置

    • 找到内网数据库IP(172.xx.xx.xx)
    • 确认站库分离架构

  2. 代理技术选择

    • 尝试Socks代理+Proxifier+Navicat组合失败
    • 考虑adminer.php但不支持Java环境
    • 最终选择reGeorg建立隧道

reGeorg使用

  1. 实施步骤

    • 上传jsp隧道文件到网站目录
    • 本地执行代理命令: 
      python2 reGeorgSocksProxy.py -p 9999 -u http://xx.xxxx.xx/tunnel.jsp
    • 配置Proxifier规则,仅允许Navicat流量通过9999端口

  2. 数据库连接验证

    • 通过会员表(member)查询受害者数据
    • 验证返现记录欺诈行为(仅首次返现)

防御建议

1. 消费者防护

  • 警惕街头"免费赠送"活动
  • 验证活动真实性(通过运营商官方渠道)
  • 不轻易提供身份证和支付信息
  • 注意合同细则,避免强制消费

2. 企业安全防护

  1. Web应用安全

    • 实施输入验证和输出编码
    • 添加验证码机制防止爆破
    • 修复已知框架漏洞(如Shiro)

  2. 权限控制

    • 实现严格的会话管理
    • 防止水平越权访问

  3. 网络架构

    • 数据库不应直接暴露于应用服务器
    • 使用VPN或跳板机管理内网资源

  4. 监控措施

    • 部署WAF防护常见Web攻击
    • 建立异常访问监控机制

技术总结

本案例展示了如何通过系统的渗透测试方法揭露商业骗局:

  1. 从信息收集开始,逐步深入
  2. 利用多种漏洞获取系统控制权
  3. 通过内网渗透技术获取关键证据
  4. 所有操作遵循"仅用于验证"原则,不进行破坏性测试

此教学文档完整呈现了从骗局分析到技术验证的全过程,可作为安全研究和消费者教育的参考材料。

充话费送手机骗局分析与渗透测试技术教学 骗局手法分析 1. 诱骗流程 街头拦截 :利用免费赠品(充电宝)吸引受害者进店 积分查询 :通过短信查询号码积分,夸大积分价值(1800分) 奖品诱惑 :展示奖品清单(平板电脑位于最高积分档) 信用验证 :要求查看支付宝信用分,制造"专属特权"假象 话费预存 :以"预存话费3999送平板"为名实施诈骗 强制开户 :未经确认直接开户并预存话费,制造既成事实 2. 技术支撑 非官方平台:使用仿冒运营商的自建平台(xx.xxxx.xx) 短期域名:域名即将到期(2020年11月) 异常企业:背后公司显示"经营异常" 渗透测试技术教学 1. 信息收集阶段 域名解析 : 通过短链接获取真实URL 使用站长工具查询域名信息 确认服务器托管于阿里云,未启用CDN 端口扫描 : 发现开放端口:80(HTTP)、22(SSH) Web应用识别 : 发现两个登录界面: 用户登录: /admin/user/login 管理后台: /admin/login 2. 漏洞挖掘技术 水平越权漏洞 发现过程 : 使用Burp Suite拦截登录请求 观察请求参数为明文传输 修改 mobile 参数尝试登录其他用户 验证方法 : 替换手机号参数成功登录其他账户 确认系统缺乏用户会话隔离机制 XSS漏洞 测试方法 : 在管理后台登录处发现账号内容直接输出在value属性 构造XSS Payload: 确认反射型XSS存在 Shiro反序列化漏洞 识别特征 : 响应包中包含 rememberMe=deleteMe 字样 使用公开exp验证漏洞存在 利用方法 : 通过命令执行框确认漏洞 在/css目录下生成验证文件(5663.js) 上传Webshell获取控制权 3. 内网渗透技术 数据库访问 发现数据库配置 : 找到内网数据库IP(172.xx.xx.xx) 确认站库分离架构 代理技术选择 : 尝试Socks代理+Proxifier+Navicat组合失败 考虑adminer.php但不支持Java环境 最终选择reGeorg建立隧道 reGeorg使用 实施步骤 : 上传jsp隧道文件到网站目录 本地执行代理命令: 配置Proxifier规则,仅允许Navicat流量通过9999端口 数据库连接验证 : 通过会员表(member)查询受害者数据 验证返现记录欺诈行为(仅首次返现) 防御建议 1. 消费者防护 警惕街头"免费赠送"活动 验证活动真实性(通过运营商官方渠道) 不轻易提供身份证和支付信息 注意合同细则,避免强制消费 2. 企业安全防护 Web应用安全 : 实施输入验证和输出编码 添加验证码机制防止爆破 修复已知框架漏洞(如Shiro) 权限控制 : 实现严格的会话管理 防止水平越权访问 网络架构 : 数据库不应直接暴露于应用服务器 使用VPN或跳板机管理内网资源 监控措施 : 部署WAF防护常见Web攻击 建立异常访问监控机制 技术总结 本案例展示了如何通过系统的渗透测试方法揭露商业骗局: 从信息收集开始,逐步深入 利用多种漏洞获取系统控制权 通过内网渗透技术获取关键证据 所有操作遵循"仅用于验证"原则,不进行破坏性测试 此教学文档完整呈现了从骗局分析到技术验证的全过程,可作为安全研究和消费者教育的参考材料。