查看: 17709|回复: 1

关于某黑灰产平台的通用XFF头攻击漏洞

[复制链接]
  • TA的每日心情
    擦汗
    2021-7-16 19:12
  • 签到天数: 30 天

    [LV.5]常住居民I

    发表于 2020-4-14 18:42:09 | 显示全部楼层 |阅读模式
    0x01 前言

        众所周知的发卡平台是属于把数字商品做成自动化交易的平台,发卡平台在售的灰色商品主要分为账号类(邮箱账号、会员账号等)、影视会员卡密类(视频会员充值)、虚拟商品类(刷钻、刷流量、游戏黑号)、软件技术类(各种破解APP),满足用户的刚需。

    1.webp.jpg

        发卡平台分为上游下游,上游为供货商,下游为代理商。这些上游大多是通过薅羊毛进行转售,把资源整理后集中在发卡平台中列出,供处在产业链下游的代理商线上批量采购,下游再去销售从中赚取差价, 而上游赚的是纯利润。

    2.webp.jpg

    3.webp.jpg

        这些代理商都是在后台添加商品,以卡密形式自动发货,俗称自动发卡

    4.webp.jpg

        从事灰色产业的供货商主要聚集在QQ群等社交渠道,每家都会有几个自己的QQ群,将发卡平台的商品链接群发至有购买意向的群体中,购买群体(下游代理商、个人)可以自行完成购买。

    5.webp.jpg

        我们观察了部分发卡平台,接触发卡平台交易的黑灰产群体,所以有了下面的水文,欢迎各位大佬前来吐槽~

    0x02 过程

        上游供货商大概可以理解为生产批发黑灰产商品的厂家,由于产业链分布不均匀,大大小小的代理商异常之多,且难追踪来源,经常不能确定分级,所以先从下游代理商开始入手,一探究竟。

    首先注册用户进入个人中心,对功能点进行常规测试,尝试进入后台

    6.webp.jpg

    找到提交工单功能

    7.webp.jpg

    系统会验证订单是否存在,不存在即不允许提交工单

    8.webp.jpg

    找到商品进行购买

    9.webp.jpg

    生成订单号即可

    10.webp.jpg

    在工单内容处插入payload

    11.webp.jpg

    查看提交的工单,确认可以执行

    12.webp.jpg

    而后通过平台的CSS特征:/static/index/xxxx/xxxxx.css 搜索同类型平台

    13.webp.jpg

    对同类型平台进行批量撒网,漫长的等待后.......

    14.webp.jpg

    BurpSuite设置全局Cookie:Proxy-Options-Match and Replace

    15.webp.jpg

    开启代理后访问后台

    16.webp.jpg

    在三方对接功能中发现一家供货商平台

    17.webp.jpg

    看这销售量,基本可以确定是上游

    18.png

    注册手机用户登录

    19.webp.jpg

    登录后进入个人中心

    20.webp.jpg

    这里注意到的问题是,前台系统会记录下用户的最后一次登录IP,那么这里可能存在XSS

    于是退出重新登录,在POST请求中添加XFF头,内容为payload

    21.webp.jpg

    果然执行了JS

    22.webp.jpg

    本来想从前台入手,直到后来在QQ群里发现管理员会把一些订单截图发到群里,原来后台也会记录下单用户的IP

    23.png

    那么我们去下单,同样伪造XFF头进行XSS攻击

    24.png

    下单成功

    25.webp.jpg

    批量撒网

    26.webp.jpg

    上游果然很强...........

    27.webp.jpg

    28.png

    大多数据卡密商品库存居多,其他官方直冲类商品各家都是有统一的客户端进行实时对接充值发货,整个流程行云流水。

    29.webp.jpg

    30.webp.jpg

    31.webp.jpg

    一段时间的观察后,发现这里只是冰山一角.............

    后面还有更多的技术支撑着整条产业链,有待探究

    水文结束,欢迎关注,Wink~
    回复

    使用道具 举报

  • TA的每日心情
    开心
    2020-6-19 20:35
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2020-6-19 20:39:57 | 显示全部楼层
    感谢分享
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-23 18:15 , Processed in 0.029048 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部