被黑產(chǎn)蹂躪的團(tuán)購網(wǎng)站
聽聞嘀嗒團(tuán)團(tuán)購業(yè)務(wù)月底就結(jié)束了,相比之前的24券, 這確實(shí)不算一件值得惋惜的事情, 畢竟創(chuàng)始團(tuán)隊(duì)套現(xiàn)了,金主又不差錢。 按照江湖規(guī)矩,還是要八一下嘀嗒團(tuán)的事情。
嘀嗒團(tuán)成立的時(shí)候,創(chuàng)始團(tuán)隊(duì)是谷歌出來的一批人,剛開始也沒引起黑客的注意,因?yàn)橛玫牟⒉皇亲畛R姷哪0?當(dāng)時(shí)85%以上的團(tuán)購網(wǎng)站都在用一款叫“最土”的開源軟件,該軟件創(chuàng)始人戴書文也是我朋友,后來被美團(tuán)收購)。 我大概是在2010年夏天拋出了最土的一個(gè)盲注漏洞的技術(shù)細(xì)節(jié)(后來得知之前有一個(gè)黑客發(fā)表過同樣的漏洞,但是并未引起注意), 隨后經(jīng)各種渠道流出,被一幫無腦的入侵流利用起來,引起了大批量網(wǎng)站管理員密碼被改, 當(dāng)時(shí)這個(gè)軟件又沒有快速恢復(fù)管理員密碼的好辦法, 當(dāng)時(shí)猛買, 24券等等全數(shù)中招,在這個(gè)情況下戴書文立刻上了一個(gè)補(bǔ)丁,并且讓各站長下載了一個(gè)密碼恢復(fù)腳本。
對(duì)于這波沖擊,這些網(wǎng)站是不吃虧的,因?yàn)槁┒匆坏┕_,就會(huì)帶來大面積的修復(fù),對(duì)于這些創(chuàng)業(yè)者來說,損失其實(shí)不大, 只不過大多網(wǎng)站都沒有做好安全善后工作, 不僅有大量存留的后門(webshell),漏洞還沒有被完全修復(fù)。 這里做得最好的是猛買網(wǎng), 第一次被黑后立刻醒悟,直接從源頭制止了盲注。然而沒過多久, 嘀嗒團(tuán)換了模板,就如同趙傳那首歌的歌詞一樣——立刻成為了獵人的目標(biāo)。
這個(gè)漏洞該利用一個(gè)magic_quote被迫被關(guān)閉的情況,做了一個(gè)sql截?cái)唷9粽呖梢杂妹ぷ@得用戶表的內(nèi)容,包括管理員的郵箱,用戶名,和加密后的密碼。 密碼是salt + md5, 固定鹽,跑表也能破, 但是還有更簡單的方法, 就是偽造cookie直接進(jìn)入后臺(tái), 即便進(jìn)不了也沒事,可以使用密碼找回功能,構(gòu)建一個(gè)修改密碼的url, 這個(gè)url里面的加密參數(shù)也可以被盲注出來。 光是有后臺(tái)還沒用, 后臺(tái)有一個(gè)通過修改模板拿shell的辦法,shell拿到基本都能提權(quán)(提不了權(quán)也不影響拖庫等),一套組合拳下來服務(wù)器就整個(gè)被端了。
不過有很多玩黑產(chǎn)的(號(hào)稱黑客)并不徹底用技術(shù),而是直接選擇去社工管理員郵箱, 這里又是八仙過海,什么齷齪的辦法都能想得出來。 我記得24券杜一楠郵箱被人貼出來是aarxx.xx@gmail.com(xx代替了缺失的字母,不過很好猜), 嘀嗒團(tuán)的超級(jí)管理員則是一個(gè)姓段的員工, 也是gmail,估計(jì)也被社工了不少, 如果當(dāng)事人有幸能看到這篇文章的話,應(yīng)該能補(bǔ)充一下當(dāng)時(shí)收了多少密碼取回郵件, 都是那一幫低端黑客弄的。
而我呢?我在“呵呵”。 呵呵的原因是那個(gè)漏洞修復(fù)的方式實(shí)在太歡樂了, 竟然只過濾了空格, 要知道過濾攻防可是黑客的基本功啊, 于是select * from user 不能用了,但是select(*)from(user) 就用得好好的, 即便括號(hào)被封了還可以用/**/ 這樣的注釋插入。 據(jù)說后來like團(tuán) 偷偷過濾了幾個(gè)關(guān)鍵字,但是依然被繞過, 差點(diǎn)把我八塊腹肌都笑出來——你知道問題出在這還不修復(fù)地干脆點(diǎn)? 跟入侵者過家家嗎? 雖然我身在異國他鄉(xiāng),但是可以很明顯感受到華麗地暴風(fēng)雨就要來了。
到了2011年,團(tuán)購進(jìn)入了一個(gè)爆發(fā)年,京東團(tuán)購也用了最土的模板, 結(jié)果自然不說了(好在后來改了也換了), 去哪兒的團(tuán)購也是最土,不過貌似很快就改了登陸方式,我沒有仔細(xì)研究,驢媽媽也是類似的情況。 不過2011年做得稍微有點(diǎn)規(guī)模(日訂單1萬多)的團(tuán)購網(wǎng)站都在拼命融資, 這下黑產(chǎn)的人笑得開心啊。 很多做名鞋庫等公司飛單的黑產(chǎn)外圍從業(yè)者也加入了這場大洗劫, 還有一些更為狗血的八卦如阿丫團(tuán)事件,細(xì)節(jié)就不說了。 我記得走秀網(wǎng)幾次宣布融資還是跟ebay茍且的新聞出來的時(shí)候, 很多江湖傳言一個(gè)做黑產(chǎn)代發(fā)貨的老板豪門夜宴感謝美帝送錢來了。 米奇網(wǎng)宣布融資的時(shí)候,估計(jì)黑產(chǎn)業(yè)者比公司員工還要興奮。
2011年下半年還有一件事,讓我很沒面子的,就是最土又暴露了一個(gè)大漏洞,這個(gè)漏洞的利用很簡單,就是用火狐或者chrome,在input name = username的時(shí)候改成username[=1 or true#],這樣成了一個(gè)數(shù)組,在build query的時(shí)候直接貼后面,就按照超級(jí)管理員的身份判定登錄了。 這招好強(qiáng)大啊, 好犀利啊, 好炫麗啊! 尼瑪我在那里要死要活搗鼓什么盲注啊,弱爆了有木有?這個(gè)技術(shù)細(xì)節(jié)的泄露下導(dǎo)致更大規(guī)模的黑產(chǎn),但是也為后來雙輸埋下了伏筆。
這個(gè)漏洞被大規(guī)模公開還是在360, 直接給出了修復(fù)手法,讓眾多站長禁止該表單提交的變量為數(shù)組。 好處就是解決了很多低端小玩家,拖延了大家的存活時(shí)間。 壞處則很明顯, 盲注流被保存了下來。
黑產(chǎn)由于良莠不齊, 像24券這樣的容易忽視的, 以及嘀嗒團(tuán)這樣的只是簡單對(duì)付一下的(嘀嗒團(tuán)在烏云被爆過幾次漏洞,但是廠家直接忽視,偷偷修復(fù)),自然就被大魔王和小鬼一起進(jìn)來了, 由于小鬼不太懂游戲規(guī)則,不尊重生態(tài), 太貪婪, 導(dǎo)致最后大家都沒飯吃, 后來24券倒下的時(shí)候,整個(gè)電商黑產(chǎn)從業(yè)者依然興致勃勃的搞其他網(wǎng)站,沒有哪怕一丁點(diǎn)的反思。 而整個(gè)團(tuán)購網(wǎng)站覆蓋多少用戶呢? 去重可以有幾千萬之多, 也就是黑產(chǎn)早已經(jīng)擁有了幾千萬具有付費(fèi)能力的用戶, 電話詐騙的直接一個(gè)電話過去: 您好,請(qǐng)問是xxx嗎? 我是xx團(tuán)的, 請(qǐng)問您在上個(gè)月10號(hào)消費(fèi)了xxx, 對(duì)嗎? 之后就開始各類詐騙,這樣的玩法基本上覆蓋了整個(gè)女性消費(fèi)b2c和團(tuán)購(我還沒聽說過哪家化妝品幸免的)。
2012年到了這個(gè)行業(yè)最瘋狂的時(shí)候, 因?yàn)橄磁屏恕?洗牌的結(jié)果就是老板要開始卷款跑路, 小兵也在A公司的錢(公司不發(fā)工資了,我自己想辦法黑錢),于是這幫吸血鬼都在最后時(shí)刻把還沒用掉的熱錢榨取干凈, 通常這些公司現(xiàn)金流都不錯(cuò),因?yàn)閺挠脩羰稚鲜斟X是即時(shí)到帳,但是跟商家結(jié)款是有一個(gè)回款期的,結(jié)果就是等商家上門的時(shí)候很可能已經(jīng)人去樓空了。
這占據(jù)了大半個(gè)行業(yè)的悲劇,根源還是在于互聯(lián)網(wǎng)創(chuàng)業(yè)公司安全意識(shí)過于薄弱,整個(gè)就是一個(gè)宿主, 最后垮掉是因?yàn)榧纳x太多, 而垮掉后,這些寄生蟲也就消停了, 所以我前面說了是一個(gè)雙輸。 但是寄生蟲并沒有死掉, 他們還在別的地方潛伏著,繼續(xù)等著下一個(gè)機(jī)會(huì)。 這個(gè)機(jī)會(huì)也許就是最近熱門的互聯(lián)網(wǎng)金融,Mt. gox就是一個(gè)很好的案例。
