本文插图
从对方删站的谨慎程度来看 ， 想必Whois查询到的信息同样是假的 ， 所以我放弃掉域名注册人信息这条线索 ， 可目前所有的线索也全断了 ， 想往下深入调查也找不到切入点 。
这事直到第三天中午才出现转折——卖家的闲鱼账号一下子发布了好几个宝贝 。
保存图片

本文插图
骗子的闲鱼更新了商品
我赶紧联系上该卖家 ， 以购买无人机为由顺利钻进他的圈套中——大疆精灵谁TM卖2千块 ， 不是傻子就是骗子 ， 但现实是 ， 现在这年头骗子比傻子多 。
添加了对方的QQ后 ， 我询问价格 ， 对方说两千 ， 比闲鱼的要少一百块 ， 让我稍等一下 ， 他去改价格 ， 等了几分钟 ， 对方发过来一条链接 。
获得对方新的诈骗网站后 ， 为了避免他们再次删站跑路 ， 就用等银行卡提现到账的方式拖时间 。

本文插图
我顺理成章钻进了他的圈套
打开该假冒网站 ， 发现模仿的真的挺像的 ， 如果我不是提前知道这是假的 ， 估计也会当真 。

本文插图
一眼看去是不是没看出真假
跟这网站里转了一圈 ， 尝试用Sql注入的方式入侵该网站 ， 很快就发现不可行 ， 对方做了防御措施——看来搞诈骗的也要会网络安全才行 。
但是在填写收货地址的那一栏中 ， 我发现是可以插入XSS恶意脚本的 。
大概解释一下啥是XSS ， 通俗点来说 ， 我可以利用一段代码插入到目标网站中 ， 例如网站的评论中 ， 当网站管理员登陆后台查看留言的时候 ， 就会触发XSS脚本 ， 就像捕猎时放的陷阱一样 。
在收货地址中插入XSS后 ， 便开始等待鱼儿上钩 ， 这个过程是比较期待的——头次用如此猥琐的进攻方式 。

本文插图
收货地址那可以插入XSS恶意脚本
2019年12月23号晚上九点五十九分 ， XSS脚本有了反馈——对方上钩了 ， 我获得了他们的后台链接以及一个Cookies 。
我并没有贸然进行登陆 ， 而是通过一个肉鸡服务器作为跳板 ， 打开火狐浏览器 ， 利用Hackbar插件将该Cookies登陆进去了此诈骗网站的后台 。

本文插图
我获取到的Cookies ， 也就是密码钥匙
对于闲鱼诈骗 ， 我并不陌生 ， 早在2017年就已经存在 ， 当时也入侵过 ， 不过那时候的后台很简陋——基于一个不知名的CMS系统去改的 。
而我现在入侵的这个后台 ， 应该为今年最新的系统 ， 里边多了很多功能 ， 例如支持发布闲鱼和转转平台的假链接 ， 并且可以通过一键采集的方式发布假商品 ， 这让我不得不感叹 。


本文插图
假冒闲鱼网站的后台
“骗子也TM讲究使用体验和方便！”
在该后台中是可以看到浏览商品的受害者IP以及他们填写的收货地址姓名手机号 ， 我粗略的看了下 ， 上当概率蛮高的 ， 一共七十多条的浏览记录 ， 其中有二十多人付了款 。

本文插图
受害者的IP地址
为了更全面地收集信息 ， 我将这些受害者的姓名电话地址统统导出保存到电脑桌面 ， 随后继续翻找后台等有用的相关信息 。

• 上汽荣威再求冲高 R标全面独立运营
• 纯电埃安独立运营，步入新赛道 ，向高端科技领域进军广汽埃安“先进、好玩、新潮、高品质”品牌基因深入人心打破固有定律，埃安Y为进击的一代而生
• 独立摄影师|日照昆仑金莹雪 摄影师 樱桃
• 最黑科技|女生禁看！日本人把蟑螂玩成这样，太刺激了…
• 障碍|新刺激方案将面临更大障碍？机构押注疫苗转向全面牛市思维
• 王佳轩|虞书欣又一综艺官宣，关注现代独立女性状态，看清阵容熬夜都要追
• 大学|被外卖小哥刺激了！于是，我又开始考证了…
• 上观新闻 好书·书摘丨“自动化”真的是AI独立完成的吗？
• 教育部|4所独立学院升为二本，教育部已批准，考生有福了
• 数码校园独立之后的首款新机入网！荣耀40S外观有惊喜