被黑產蹂躪的團購網站
聽聞嘀嗒團團購業務月底就結束了,相比之前的24券, 這確實不算一件值得惋惜的事情, 畢竟創始團隊套現了,金主又不差錢。 按照江湖規矩,還是要八一下嘀嗒團的事情。
嘀嗒團成立的時候,創始團隊是谷歌出來的一批人,剛開始也沒引起黑客的注意,因為用的并不是最常見的模板(當時85%以上的團購網站都在用一款叫“最土”的開源軟件,該軟件創始人戴書文也是我朋友,后來被美團收購)。 我大概是在2010年夏天拋出了最土的一個盲注漏洞的技術細節(后來得知之前有一個黑客發表過同樣的漏洞,但是并未引起注意), 隨后經各種渠道流出,被一幫無腦的入侵流利用起來,引起了大批量網站管理員密碼被改, 當時這個軟件又沒有快速恢復管理員密碼的好辦法, 當時猛買, 24券等等全數中招,在這個情況下戴書文立刻上了一個補丁,并且讓各站長下載了一個密碼恢復腳本。
對于這波沖擊,這些網站是不吃虧的,因為漏洞一旦公開,就會帶來大面積的修復,對于這些創業者來說,損失其實不大, 只不過大多網站都沒有做好安全善后工作, 不僅有大量存留的后門(webshell),漏洞還沒有被完全修復。 這里做得最好的是猛買網, 第一次被黑后立刻醒悟,直接從源頭制止了盲注。然而沒過多久, 嘀嗒團換了模板,就如同趙傳那首歌的歌詞一樣——立刻成為了獵人的目標。
這個漏洞該利用一個magic_quote被迫被關閉的情況,做了一個sql截斷。攻擊者可以用盲注獲得用戶表的內容,包括管理員的郵箱,用戶名,和加密后的密碼。 密碼是salt + md5, 固定鹽,跑表也能破, 但是還有更簡單的方法, 就是偽造cookie直接進入后臺, 即便進不了也沒事,可以使用密碼找回功能,構建一個修改密碼的url, 這個url里面的加密參數也可以被盲注出來。 光是有后臺還沒用, 后臺有一個通過修改模板拿shell的辦法,shell拿到基本都能提權(提不了權也不影響拖庫等),一套組合拳下來服務器就整個被端了。
不過有很多玩黑產的(號稱黑客)并不徹底用技術,而是直接選擇去社工管理員郵箱, 這里又是八仙過海,什么齷齪的辦法都能想得出來。 我記得24券杜一楠郵箱被人貼出來是aarxx.xx@gmail.com(xx代替了缺失的字母,不過很好猜), 嘀嗒團的超級管理員則是一個姓段的員工, 也是gmail,估計也被社工了不少, 如果當事人有幸能看到這篇文章的話,應該能補充一下當時收了多少密碼取回郵件, 都是那一幫低端黑客弄的。
而我呢?我在“呵呵”。 呵呵的原因是那個漏洞修復的方式實在太歡樂了, 竟然只過濾了空格, 要知道過濾攻防可是黑客的基本功啊, 于是select * from user 不能用了,但是select(*)from(user) 就用得好好的, 即便括號被封了還可以用/**/ 這樣的注釋插入。 據說后來like團 偷偷過濾了幾個關鍵字,但是依然被繞過, 差點把我八塊腹肌都笑出來——你知道問題出在這還不修復地干脆點? 跟入侵者過家家嗎? 雖然我身在異國他鄉,但是可以很明顯感受到華麗地暴風雨就要來了。
到了2011年,團購進入了一個爆發年,京東團購也用了最土的模板, 結果自然不說了(好在后來改了也換了), 去哪兒的團購也是最土,不過貌似很快就改了登陸方式,我沒有仔細研究,驢媽媽也是類似的情況。 不過2011年做得稍微有點規模(日訂單1萬多)的團購網站都在拼命融資, 這下黑產的人笑得開心啊。 很多做名鞋庫等公司飛單的黑產外圍從業者也加入了這場大洗劫, 還有一些更為狗血的八卦如阿丫團事件,細節就不說了。 我記得走秀網幾次宣布融資還是跟ebay茍且的新聞出來的時候, 很多江湖傳言一個做黑產代發貨的老板豪門夜宴感謝美帝送錢來了。 米奇網宣布融資的時候,估計黑產業者比公司員工還要興奮。
2011年下半年還有一件事,讓我很沒面子的,就是最土又暴露了一個大漏洞,這個漏洞的利用很簡單,就是用火狐或者chrome,在input name = username的時候改成username[=1 or true#],這樣成了一個數組,在build query的時候直接貼后面,就按照超級管理員的身份判定登錄了。 這招好強大啊, 好犀利啊, 好炫麗啊! 尼瑪我在那里要死要活搗鼓什么盲注啊,弱爆了有木有?這個技術細節的泄露下導致更大規模的黑產,但是也為后來雙輸埋下了伏筆。
這個漏洞被大規模公開還是在360, 直接給出了修復手法,讓眾多站長禁止該表單提交的變量為數組。 好處就是解決了很多低端小玩家,拖延了大家的存活時間。 壞處則很明顯, 盲注流被保存了下來。
黑產由于良莠不齊, 像24券這樣的容易忽視的, 以及嘀嗒團這樣的只是簡單對付一下的(嘀嗒團在烏云被爆過幾次漏洞,但是廠家直接忽視,偷偷修復),自然就被大魔王和小鬼一起進來了, 由于小鬼不太懂游戲規則,不尊重生態, 太貪婪, 導致最后大家都沒飯吃, 后來24券倒下的時候,整個電商黑產從業者依然興致勃勃的搞其他網站,沒有哪怕一丁點的反思。 而整個團購網站覆蓋多少用戶呢? 去重可以有幾千萬之多, 也就是黑產早已經擁有了幾千萬具有付費能力的用戶, 電話詐騙的直接一個電話過去: 您好,請問是xxx嗎? 我是xx團的, 請問您在上個月10號消費了xxx, 對嗎? 之后就開始各類詐騙,這樣的玩法基本上覆蓋了整個女性消費b2c和團購(我還沒聽說過哪家化妝品幸免的)。
2012年到了這個行業最瘋狂的時候, 因為洗牌了。 洗牌的結果就是老板要開始卷款跑路, 小兵也在A公司的錢(公司不發工資了,我自己想辦法黑錢),于是這幫吸血鬼都在最后時刻把還沒用掉的熱錢榨取干凈, 通常這些公司現金流都不錯,因為從用戶手上收錢是即時到帳,但是跟商家結款是有一個回款期的,結果就是等商家上門的時候很可能已經人去樓空了。
這占據了大半個行業的悲劇,根源還是在于互聯網創業公司安全意識過于薄弱,整個就是一個宿主, 最后垮掉是因為寄生蟲太多, 而垮掉后,這些寄生蟲也就消停了, 所以我前面說了是一個雙輸。 但是寄生蟲并沒有死掉, 他們還在別的地方潛伏著,繼續等著下一個機會。 這個機會也許就是最近熱門的互聯網金融,Mt. gox就是一個很好的案例。
