0x01 前言
眾所周知的髮卡平臺是屬於把數字商品做成自動化交易的平臺,髮卡平臺在售的灰色商品主要分為賬號類(郵箱賬號、會員賬號等)、影視會員卡密類(視頻會員充值)、虛擬商品類(刷鑽、刷流量、遊戲黑號)、軟件技術類(各種破解APP),滿足用戶的剛需。
髮卡平臺分為上游下游,上游為供貨商,下游為代理商。這些上游大多是通過薅羊毛進行轉售,把資源整理後集中在髮卡平臺中列出,供處在產業鏈下游的代理商線上批量採購,下游再去銷售從中賺取差價, 而上游賺的是純利潤。
這些代理商都是在後臺添加商品,以卡密形式自動發貨,俗稱自動髮卡
從事灰色產業的供貨商主要聚集在QQ群等社交渠道,每家都會有幾個自己的QQ群,將髮卡平臺的商品鏈接群發至有購買意向的群體中,購買群體(下游代理商、個人)可以自行完成購買。
我們觀察了部分發卡平臺,接觸發卡平臺交易的黑灰產群體,所以有了下面的水文,歡迎各位大佬前來吐槽~
0x02 過程
上游供貨商大概可以理解為生產批發黑灰產商品的廠家,由於產業鏈分佈不均勻,大大小小的代理商異常之多,且難追蹤來源,經常不能確定分級,所以先從下游代理商開始入手,一探究竟。
首先註冊用戶進入個人中心,對功能點進行常規測試,嘗試進入後臺
找到提交工單功能
系統會驗證訂單是否存在,不存在即不允許提交工單
找到商品進行購買
生成訂單號即可
在工單內容處插入payload
查看提交的工單,確認可以執行
而後通過平臺的CSS特徵:/static/index/xxxx/xxxxx.css 搜索同類型平臺
對同類型平臺進行批量撒網,漫長的等待後.......
BurpSuite設置全局Cookie:Proxy-Options-Match and Replace
開啟代理後訪問後臺
在三方對接功能中發現一家供貨商平臺
看這銷售量,基本可以確定是上游
註冊手機用戶登錄
登錄後進入個人中心
這裡注意到的問題是,前臺系統會記錄下用戶的最後一次登錄IP,那麼這裡可能存在XSS
於是退出重新登錄,在POST請求中添加XFF頭,內容為payload
果然執行了JS
本來想從前臺入手,直到後來在QQ群裡發現管理員會把一些訂單截圖發到群裡,原來後臺也會記錄下單用戶的IP
那麼我們去下單,同樣偽造XFF頭進行XSS攻擊
下單成功
批量撒網
上游果然很強...........
大多數據卡密商品庫存居多,其他官方直衝類商品各家都是有統一的客戶端進行實時對接充值發貨,整個流程行雲流水。
一段時間的觀察後,發現這裡只是冰山一角.............
後面還有更多的技術支撐著整條產業鏈,有待探究
水文結束,歡迎關注,Wink~
*本文作者:nearsec
