科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全被黑产蹂躏的团购网站

被黑产蹂躏的团购网站

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

听闻嘀嗒团团购业务月底就结束了,相比之前的24券, 这确实不算一件值得惋惜的事情, 毕竟创始团队套现了,金主又不差钱。 按照江湖规矩,还是要八一下嘀嗒团的事情。

来源:ZDNet安全频道 2014年3月5日

关键字: 黑产 网站 团购网站 漏洞

  • 评论
  • 分享微博
  • 分享邮件

听闻嘀嗒团团购业务月底就结束了,相比之前的24券, 这确实不算一件值得惋惜的事情, 毕竟创始团队套现了,金主又不差钱。 按照江湖规矩,还是要八一下嘀嗒团的事情。

嘀嗒团成立的时候,创始团队是谷歌出来的一批人,刚开始也没引起黑客的注意,因为用的并不是最常见的模板(当时85%以上的团购网站都在用一款叫 “最土”的开源软件,该软件创始人戴书文也是我朋友,后来被美团收购)。 我大概是在2010年夏天抛出了最土的一个盲注漏洞的技术细节(后来得知之前有一个黑客发表过同样的漏洞,但是并未引起注意), 随后经各种渠道流出,被一帮无脑的入侵流利用起来,引起了大批量网站管理员密码被改, 当时这个软件又没有快速恢复管理员密码的好办法, 当时猛买, 24券等等全数中招,在这个情况下戴书文立刻上了一个补丁,并且让各站长下载了一个密码恢复脚本。

对于这波冲击,这些网站是不吃亏的,因为漏洞一旦公开,就会带来大面积的修复,对于这些创业者来说,损失其实不大, 只不过大多网站都没有做好安全善后工作, 不仅有大量存留的后门(webshell),漏洞还没有被完全修复。 这里做得最好的是猛买网, 第一次被黑后立刻醒悟,直接从源头制止了盲注。然而没过多久, 嘀嗒团换了模板,就如同赵传那首歌的歌词一样——立刻成为了猎人的目标。

这个漏洞该利用一个magic_quote被迫被关闭的情况,做了一个sql截断。攻击者可以用盲注获得用户表的内容,包括管理员的邮箱,用户名, 和加密后的密码。 密码是salt + md5, 固定盐,跑表也能破, 但是还有更简单的方法, 就是伪造cookie直接进入后台, 即便进不了也没事,可以使用密码找回功能,构建一个修改密码的url, 这个url里面的加密参数也可以被盲注出来。 光是有后台还没用, 后台有一个通过修改模板拿shell的办法,shell拿到基本都能提权(提不了权也不影响拖库等),一套组合拳下来服务器就整个被端了。

不过有很多玩黑产的(号称黑客)并不彻底用技术,而是直接选择去社工管理员邮箱, 这里又是八仙过海,什么龌龊的办法都能想得出来。 我记得24券杜一楠邮箱被人贴出来是aarxx.xx@gmail.com(xx代替了缺失的字母,不过很好猜), 嘀嗒团的超级管理员则是一个姓段的员工, 也是gmail,估计也被社工了不少, 如果当事人有幸能看到这篇文章的话,应该能补充一下当时收了多少密码取回邮件, 都是那一帮低端黑客弄的。

而我呢?我在“呵呵”。 呵呵的原因是那个漏洞修复的方式实在太欢乐了, 竟然只过滤了空格, 要知道过滤攻防可是黑客的基本功啊, 于是select * from user 不能用了,但是select(*)from(user) 就用得好好的, 即便括号被封了还可以用/**/ 这样的注释插入。 据说后来like团 偷偷过滤了几个关键字,但是依然被绕过, 差点把我八块腹肌都笑出来——你知道问题出在这还不修复地干脆点? 跟入侵者过家家吗? 虽然我身在异国他乡,但是可以很明显感受到华丽地暴风雨就要来了。

到了2011年,团购进入了一个爆发年,京东团购也用了最土的模板, 结果自然不说了(好在后来改了也换了), 去哪儿的团购也是最土,不过貌似很快就改了登陆方式,我没有仔细研究,驴妈妈也是类似的情况。 不过2011年做得稍微有点规模(日订单1万多)的团购网站都在拼命融资, 这下黑产的人笑得开心啊。 很多做名鞋库等公司飞单的黑产外围从业者也加入了这场大洗劫, 还有一些更为狗血的八卦如阿丫团事件,细节就不说了。 我记得走秀网几次宣布融资还是跟ebay苟且的新闻出来的时候, 很多江湖传言一个做黑产代发货的老板豪门夜宴感谢美帝送钱来了。 米奇网宣布融资的时候,估计黑产业者比公司员工还要兴奋。

2011年下半年还有一件事,让我很没面子的,就是最土又暴露了一个大漏洞,这个漏洞的利用很简单,就是用火狐或者chrome,在input name = username的时候改成username[=1 or true#],这样成了一个数组,在build query的时候直接贴后面,就按照超级管理员的身份判定登录了。 这招好强大啊, 好犀利啊, 好炫丽啊! 尼玛我在那里要死要活捣鼓什么盲注啊,弱爆了有木有?这个技术细节的泄露下导致更大规模的黑产,但是也为后来双输埋下了伏笔。

这个漏洞被大规模公开还是在360, 直接给出了修复手法,让众多站长禁止该表单提交的变量为数组。 好处就是解决了很多低端小玩家,拖延了大家的存活时间。 坏处则很明显, 盲注流被保存了下来。

黑产由于良莠不齐, 像24券这样的容易忽视的, 以及嘀嗒团这样的只是简单对付一下的(嘀嗒团在乌云被爆过几次漏洞,但是厂家直接忽视,偷偷修复),自然就被大魔王和小鬼一起进来了, 由于小鬼不太懂游戏规则,不尊重生态, 太贪婪, 导致最后大家都没饭吃, 后来24券倒下的时候,整个电商黑产从业者依然兴致勃勃的搞其他网站,没有哪怕一丁点的反思。 而整个团购网站覆盖多少用户呢? 去重可以有几千万之多, 也就是黑产早已经拥有了几千万具有付费能力的用户, 电话诈骗的直接一个电话过去: 您好,请问是xxx吗? 我是xx团的, 请问您在上个月10号消费了xxx, 对吗? 之后就开始各类诈骗,这样的玩法基本上覆盖了整个女性消费b2c和团购(我还没听说过哪家化妆品幸免的)。

2012年到了这个行业最疯狂的时候, 因为洗牌了。 洗牌的结果就是老板要开始卷款跑路, 小兵也在A公司的钱(公司不发工资了,我自己想办法黑钱),于是这帮吸血鬼都在最后时刻把还没用掉的热钱榨取干净, 通常这些公司现金流都不错,因为从用户手上收钱是即时到帐,但是跟商家结款是有一个回款期的,结果就是等商家上门的时候很可能已经人去楼空了。

这占据了大半个行业的悲剧,根源还是在于互联网创业公司安全意识过于薄弱,整个就是一个宿主, 最后垮掉是因为寄生虫太多, 而垮掉后,这些寄生虫也就消停了, 所以我前面说了是一个双输。 但是寄生虫并没有死掉, 他们还在别的地方潜伏着,继续等着下一个机会。 这个机会也许就是最近热门的互联网金融,Mt. gox就是一个很好的案例。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章