你听我说，这个仿闲鱼诈骗平台是这样的。

• 事情起因

​ 听我说，事情是这样的：

​ 废话不多说～开干！

• 就这？

​ 扫码获取 url 直接访问： http://xxx.xxx.com/h5.2.taobao/index2.php?te=1&ClickID=168 。

​ 测试了一下 ClickID 参数，存在注入。

​ 顺利拿到账号密码：baixiaos/123456

• 后台你在哪

  ​ 扫目录后没能发现后台，通过访问/admin以及/admin/index.php都会 302 跳转到/。翻阅全网发现仅有 3 篇文章与这个系统有关，且只有一篇找到后台，BUTTTT!访问后返回 404 。

  ​ 好了放弃了🏳️。正想着碰碰运气不行就只能放弃，直接输入/baixiaos仍然返回 404 ，再次输入/baixiaos.php成功返回后台！

​ 输入帐号密码，进入后台。

​ 进入系统后找到一处上传点，直接改后缀，Getshell ！

• 诈骗人员信息梳理

  通过备案信息、子域名等其他系统，获取到诈骗人员部分信息。

  从这个站点，获得了诈骗人员 QQ 、微信、邮箱。

  在诈骗后台进行 XSS 攻击，最终锁定触发 IP 111.55.9.67 （中国广西壮族自治区）。 ​ 过了一会发现诈骗人员发布了新的诈骗页面。

​ 通过文案到闲鱼 APP 进行检索，锁定了一条新发布的商品信息。且该用户 IP 归属地与诈骗人员的 归属地一致。

​ 接下来就是打包资料上交公安～删库拜拜！