被黑产蹂躏的团购网站

听闻嘀嗒团团购业务月底就结束了,相比之前的24券, 这确实不算一件值得惋惜的事情, 毕竟创始团队套现了,金主又不差钱。 按照江湖规矩,还是要八一下嘀嗒团的事情。

  嘀嗒团成立的时候,创始团队是谷歌出来的一批人,刚开始也没引起黑客的注意,因为用的并不是最常见的模板(当时85%以上的团购网站都在用一款叫“最土”的开源软件,该软件创始人戴书文也是我朋友,后来被美团收购)。 我大概是在2010年夏天抛出了最土的一个盲注漏洞的技术细节(后来得知之前有一个黑客发表过同样的漏洞,但是并未引起注意), 随后经各种渠道流出,被一帮无脑的入侵流利用起来,引起了大批量网站管理员密码被改, 当时这个软件又没有快速恢复管理员密码的好办法, 当时猛买, 24券等等全数中招,在这个情况下戴书文立刻上了一个补丁,并且让各站长下载了一个密码恢复脚本。

  对于这波冲击,这些网站是不吃亏的,因为漏洞一旦公开,就会带来大面积的修复,对于这些创业者来说,损失其实不大, 只不过大多网站都没有做好安全善后工作, 不仅有大量存留的后门(webshell),漏洞还没有被完全修复。 这里做得最好的是猛买网, 第一次被黑后立刻醒悟,直接从源头制止了盲注。然而没过多久, 嘀嗒团换了模板,就如同赵传那首歌的歌词一样——立刻成为了猎人的目标。

  这个漏洞该利用一个magic_quote被迫被关闭的情况,做了一个sql截断。攻击者可以用盲注获得用户表的内容,包括管理员的邮箱,用户名,和加密后的密码。 密码是salt + md5, 固定盐,跑表也能破, 但是还有更简单的方法, 就是伪造cookie直接进入后台, 即便进不了也没事,可以使用密码找回功能,构建一个修改密码的url, 这个url里面的加密参数也可以被盲注出来。 光是有后台还没用, 后台有一个通过修改模板拿shell的办法,shell拿到基本都能提权(提不了权也不影响拖库等),一套组合拳下来服务器就整个被端了。

  不过有很多玩黑产的(号称黑客)并不彻底用技术,而是直接选择去社工管理员邮箱, 这里又是八仙过海,什么龌龊的办法都能想得出来。 我记得24券杜一楠邮箱被人贴出来是[email protected](xx代替了缺失的字母,不过很好猜), 嘀嗒团的超级管理员则是一个姓段的员工, 也是gmail,估计也被社工了不少, 如果当事人有幸能看到这篇文章的话,应该能补充一下当时收了多少密码取回邮件, 都是那一帮低端黑客弄的。

  而我呢?我在“呵呵”。 呵呵的原因是那个漏洞修复的方式实在太欢乐了, 竟然只过滤了空格, 要知道过滤攻防可是黑客的基本功啊, 于是select * from user 不能用了,但是select(*)from(user) 就用得好好的, 即便括号被封了还可以用/**/ 这样的注释插入。 据说后来like团 偷偷过滤了几个关键字,但是依然被绕过, 差点把我八块腹肌都笑出来——你知道问题出在这还不修复地干脆点? 跟入侵者过家家吗? 虽然我身在异国他乡,但是可以很明显感受到华丽地暴风雨就要来了。

  到了2011年,团购进入了一个爆发年,京东团购也用了最土的模板, 结果自然不说了(好在后来改了也换了), 去哪儿的团购也是最土,不过貌似很快就改了登陆方式,我没有仔细研究,驴妈妈也是类似的情况。 不过2011年做得稍微有点规模(日订单1万多)的团购网站都在拼命融资, 这下黑产的人笑得开心啊。 很多做名鞋库等公司飞单的黑产外围从业者也加入了这场大洗劫, 还有一些更为狗血的八卦如阿丫团事件,细节就不说了。 我记得走秀网几次宣布融资还是跟ebay苟且的新闻出来的时候, 很多江湖传言一个做黑产代发货的老板豪门夜宴感谢美帝送钱来了。 米奇网宣布融资的时候,估计黑产业者比公司员工还要兴奋。

  2011年下半年还有一件事,让我很没面子的,就是最土又暴露了一个大漏洞,这个漏洞的利用很简单,就是用火狐或者chrome,在input name = username的时候改成username[=1 or true#],这样成了一个数组,在build query的时候直接贴后面,就按照超级管理员的身份判定登录了。 这招好强大啊, 好犀利啊, 好炫丽啊! 尼玛我在那里要死要活捣鼓什么盲注啊,弱爆了有木有?这个技术细节的泄露下导致更大规模的黑产,但是也为后来双输埋下了伏笔。

  这个漏洞被大规模公开还是在360, 直接给出了修复手法,让众多站长禁止该表单提交的变量为数组。 好处就是解决了很多低端小玩家,拖延了大家的存活时间。 坏处则很明显, 盲注流被保存了下来。

  黑产由于良莠不齐, 像24券这样的容易忽视的, 以及嘀嗒团这样的只是简单对付一下的(嘀嗒团在乌云被爆过几次漏洞,但是厂家直接忽视,偷偷修复),自然就被大魔王和小鬼一起进来了, 由于小鬼不太懂游戏规则,不尊重生态, 太贪婪, 导致最后大家都没饭吃, 后来24券倒下的时候,整个电商黑产从业者依然兴致勃勃的搞其他网站,没有哪怕一丁点的反思。 而整个团购网站覆盖多少用户呢? 去重可以有几千万之多, 也就是黑产早已经拥有了几千万具有付费能力的用户, 电话诈骗的直接一个电话过去: 您好,请问是xxx吗? 我是xx团的, 请问您在上个月10号消费了xxx, 对吗? 之后就开始各类诈骗,这样的玩法基本上覆盖了整个女性消费b2c和团购(我还没听说过哪家化妆品幸免的)。

  2012年到了这个行业最疯狂的时候, 因为洗牌了。 洗牌的结果就是老板要开始卷款跑路, 小兵也在A公司的钱(公司不发工资了,我自己想办法黑钱),于是这帮吸血鬼都在最后时刻把还没用掉的热钱榨取干净, 通常这些公司现金流都不错,因为从用户手上收钱是即时到帐,但是跟商家结款是有一个回款期的,结果就是等商家上门的时候很可能已经人去楼空了。

  这占据了大半个行业的悲剧,根源还是在于互联网创业公司安全意识过于薄弱,整个就是一个宿主, 最后垮掉是因为寄生虫太多, 而垮掉后,这些寄生虫也就消停了, 所以我前面说了是一个双输。 但是寄生虫并没有死掉, 他们还在别的地方潜伏着,继续等着下一个机会。 这个机会也许就是最近热门的互联网金融,Mt. gox就是一个很好的案例。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/150706.html<

(0)
管理的头像管理
上一篇2025-03-13 05:06
下一篇 2025-03-13 05:07

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注