随著二手货交易消费市场的蓬勃发展，愈来愈多的人透过二手货网络平台转手空置贵重物品，而这也让鞘花产相关人员透出商业机会。另一方面借助黑心的二手货交易网络平台钓中文网站以低价货品招揽鸟儿捉到，另一方面售卖含侧门的钓中文网站源码，套取别人诈欺浆果。

上周收录于到这款黑心二手货B2C网络平台的钓中文网站源码展开诈欺的刑事案件，Cadours操作过程辨认出了钓中文网站的基本原理（窃取刘逸云重要信息的与此同时套取资本金），与此同时还辨认出其源码存有打劫的现像。

诈欺业务流程还原成

①透过钓中文网站管理工作前台的货品收集机能，截取选定的B2C网络平台货品重要信息，聚合钓中文网站货品网页。

②将货品的钓镜像发送给被害人，使用者出访后会重定向至黑心的二手货网络平台帐号登入网页。

③点击登入后，重定向至微信登入界面，登入微信后重定向至订单支付网页。

钓中文网站前台的管理工作机能

透过对钓中文网站的管理工作前台机能分析辨认出，聚合黑心货品的钓网页非常简单，只需输入需收集的货品镜像，截取选定镜像内的货品内容展开配置。更严重的是，前台有收集记录手机使用者在钓中文网站填写的收货人等重要信息。

中文网站源码藏暗箭，植入地牢打劫

在对中文网站源码分析的操作过程中辨认出，该钓中文网站存有webshell，可以看出源码供应商存有打劫的行为。webshell是以asp、php、jsp等网页文件形式存有的一种代码执行环境。黑客在入侵一个中文网站后，通常会将asp或php侧门文件与中文网站服务器WEB目录下正常的网页文件混在一起。然后就可以使用浏览器来出访asp或者php侧门，得到一个命令执行环境，以达到控制中文网站服务器的目的。

可以简单理解为：

入侵者透过入侵的方式，将大马（地牢）写入到中文网站内，地牢可以理解为中文网站的另一个隐藏的管理工作前台，此时入侵者出访该地牢文件的网址，登入后就可实现对中文网站的基础控制，如：查看服务器文件列表、文件、服务器版本的机能等。进一步，透过提权实现对整个电脑的控制权。

地牢文件的前台机能

透过该大马文件的源码，辨认出其登入密码，登入网页后看到了其全貌的内容。其主要包含本地硬盘、重要信息操作、提权工具、批量操作四个板块。

l本地硬盘

查看服务器C、D等硬盘的文件列表、文件名

l重要信息操作

上传文件至服务器中、查看服务器版本重要信息

l提权工具

部分Webshell网马仅有查看服务器文件列表、文件、服务器版本的机能，想要获得服务器的控制权限需要展开提升权限的操作。获取服务器的控制权后，服务器就变成了肉鸡，可以用来展开刷流量、挖矿等鞘花产行为。

l批量操作

指的是批量挂马清马、批量替换内容等操作。即在网页内批次上传网马(借助漏洞制作的网页地牢)，当受访者出访含有网马文件的中文网站网页时。若电脑存有对应的网马漏洞或未安装杀毒软件，地牢文件会在电脑中执行。

目前，辨认出此类源码在网络仍有出售，与此同时随著免签支付、四方支付的蓬勃发展，此类诈欺源码还提供了支付机能，又进一步降低此类诈欺的步入门槛。

来源：网络侦查研究院