被黑产蹂躏的团购网站

听闻嘀嗒团团购业务月底就结束了，相比之前的24券， 这确实不算一件值得惋惜的事情， 毕竟创始团队套现了，金主又不差钱。 按照江湖规矩，还是要八一下嘀嗒团的事情。

　　嘀嗒团成立的时候，创始团队是谷歌出来的一批人，刚开始也没引起黑客的注意，因为用的并不是最常见的模板(当时85%以上的团购网站都在用一款叫“最土”的开源软件，该软件创始人戴书文也是我朋友，后来被美团收购)。 我大概是在2010年夏天抛出了最土的一个盲注漏洞的技术细节(后来得知之前有一个黑客发表过同样的漏洞，但是并未引起注意)， 随后经各种渠道流出，被一帮无脑的入侵流利用起来，引起了大批量网站管理员密码被改， 当时这个软件又没有快速恢复管理员密码的好办法， 当时猛买， 24券等等全数中招，在这个情况下戴书文立刻上了一个补丁，并且让各站长下载了一个密码恢复脚本。

　　对于这波冲击，这些网站是不吃亏的，因为漏洞一旦公开，就会带来大面积的修复，对于这些创业者来说，损失其实不大， 只不过大多网站都没有做好安全善后工作， 不仅有大量存留的后门(webshell)，漏洞还没有被完全修复。 这里做得最好的是猛买网， 第一次被黑后立刻醒悟，直接从源头制止了盲注。然而没过多久， 嘀嗒团换了模板，就如同赵传那首歌的歌词一样——立刻成为了猎人的目标。

　　这个漏洞该利用一个magic_quote被迫被关闭的情况，做了一个sql截断。攻击者可以用盲注获得用户表的内容，包括管理员的邮箱，用户名，和加密后的密码。 密码是salt + md5， 固定盐，跑表也能破， 但是还有更简单的方法， 就是伪造cookie直接进入后台， 即便进不了也没事，可以使用密码找回功能，构建一个修改密码的url， 这个url里面的加密参数也可以被盲注出来。 光是有后台还没用， 后台有一个通过修改模板拿shell的办法，shell拿到基本都能提权(提不了权也不影响拖库等)，一套组合拳下来服务器就整个被端了。

　　不过有很多玩黑产的(号称黑客)并不彻底用技术，而是直接选择去社工管理员邮箱， 这里又是八仙过海，什么龌龊的办法都能想得出来。 我记得24券杜一楠邮箱被人贴出来是[email protected](xx代替了缺失的字母，不过很好猜)， 嘀嗒团的超级管理员则是一个姓段的员工， 也是gmail，估计也被社工了不少， 如果当事人有幸能看到这篇文章的话，应该能补充一下当时收了多少密码取回邮件， 都是那一帮低端黑客弄的。

　　而我呢?我在“呵呵”。 呵呵的原因是那个漏洞修复的方式实在太欢乐了， 竟然只过滤了空格， 要知道过滤攻防可是黑客的基本功啊， 于是select * from user 不能用了，但是select(*)from(user) 就用得好好的， 即便括号被封了还可以用/**/ 这样的注释插入。 据说后来like团 偷偷过滤了几个关键字，但是依然被绕过， 差点把我八块腹肌都笑出来——你知道问题出在这还不修复地干脆点? 跟入侵者过家家吗? 虽然我身在异国他乡，但是可以很明显感受到华丽地暴风雨就要来了。

　　到了2011年，团购进入了一个爆发年，京东团购也用了最土的模板， 结果自然不说了(好在后来改了也换了)， 去哪儿的团购也是最土，不过貌似很快就改了登陆方式，我没有仔细研究，驴妈妈也是类似的情况。 不过2011年做得稍微有点规模(日订单1万多)的团购网站都在拼命融资， 这下黑产的人笑得开心啊。 很多做名鞋库等公司飞单的黑产外围从业者也加入了这场大洗劫， 还有一些更为狗血的八卦如阿丫团事件，细节就不说了。 我记得走秀网几次宣布融资还是跟ebay苟且的新闻出来的时候， 很多江湖传言一个做黑产代发货的老板豪门夜宴感谢美帝送钱来了。 米奇网宣布融资的时候，估计黑产业者比公司员工还要兴奋。

　　2011年下半年还有一件事，让我很没面子的，就是最土又暴露了一个大漏洞，这个漏洞的利用很简单，就是用火狐或者chrome，在input name = username的时候改成username[=1 or true#]，这样成了一个数组，在build query的时候直接贴后面，就按照超级管理员的身份判定登录了。 这招好强大啊， 好犀利啊， 好炫丽啊! 尼玛我在那里要死要活捣鼓什么盲注啊，弱爆了有木有?这个技术细节的泄露下导致更大规模的黑产，但是也为后来双输埋下了伏笔。

　　这个漏洞被大规模公开还是在360， 直接给出了修复手法，让众多站长禁止该表单提交的变量为数组。 好处就是解决了很多低端小玩家，拖延了大家的存活时间。 坏处则很明显， 盲注流被保存了下来。

　　黑产由于良莠不齐， 像24券这样的容易忽视的， 以及嘀嗒团这样的只是简单对付一下的(嘀嗒团在乌云被爆过几次漏洞，但是厂家直接忽视，偷偷修复)，自然就被大魔王和小鬼一起进来了， 由于小鬼不太懂游戏规则，不尊重生态， 太贪婪， 导致最后大家都没饭吃， 后来24券倒下的时候，整个电商黑产从业者依然兴致勃勃的搞其他网站，没有哪怕一丁点的反思。 而整个团购网站覆盖多少用户呢? 去重可以有几千万之多， 也就是黑产早已经拥有了几千万具有付费能力的用户， 电话诈骗的直接一个电话过去： 您好，请问是xxx吗? 我是xx团的， 请问您在上个月10号消费了xxx， 对吗? 之后就开始各类诈骗，这样的玩法基本上覆盖了整个女性消费b2c和团购(我还没听说过哪家化妆品幸免的)。

　　2012年到了这个行业最疯狂的时候， 因为洗牌了。 洗牌的结果就是老板要开始卷款跑路， 小兵也在A公司的钱(公司不发工资了，我自己想办法黑钱)，于是这帮吸血鬼都在最后时刻把还没用掉的热钱榨取干净， 通常这些公司现金流都不错，因为从用户手上收钱是即时到帐，但是跟商家结款是有一个回款期的，结果就是等商家上门的时候很可能已经人去楼空了。

　　这占据了大半个行业的悲剧，根源还是在于互联网创业公司安全意识过于薄弱，整个就是一个宿主， 最后垮掉是因为寄生虫太多， 而垮掉后，这些寄生虫也就消停了， 所以我前面说了是一个双输。 但是寄生虫并没有死掉， 他们还在别的地方潜伏着，继续等着下一个机会。 这个机会也许就是最近热门的互联网金融，Mt. gox就是一个很好的案例。