关于某黑灰产平台的通用XFF头攻击漏洞

Holy

0x01 前言

    众所周知的发卡平台是属于把数字商品做成自动化交易的平台，发卡平台在售的灰色商品主要分为账号类(邮箱账号、会员账号等)、影视会员卡密类(视频会员充值)、虚拟商品类(刷钻、刷流量、游戏黑号)、软件技术类(各种破解APP)，满足用户的刚需。



    发卡平台分为上游下游，上游为供货商，下游为代理商。这些上游大多是通过薅羊毛进行转售，把资源整理后集中在发卡平台中列出，供处在产业链下游的代理商线上批量采购，下游再去销售从中赚取差价， 而上游赚的是纯利润。





    这些代理商都是在后台添加商品，以卡密形式自动发货，俗称自动发卡



    从事灰色产业的供货商主要聚集在QQ群等社交渠道，每家都会有几个自己的QQ群，将发卡平台的商品链接群发至有购买意向的群体中，购买群体(下游代理商、个人)可以自行完成购买。



    我们观察了部分发卡平台，接触发卡平台交易的黑灰产群体，所以有了下面的水文，欢迎各位大佬前来吐槽~

0x02 过程

    上游供货商大概可以理解为生产批发黑灰产商品的厂家，由于产业链分布不均匀，大大小小的代理商异常之多，且难追踪来源，经常不能确定分级，所以先从下游代理商开始入手，一探究竟。

首先注册用户进入个人中心，对功能点进行常规测试，尝试进入后台



找到提交工单功能



系统会验证订单是否存在，不存在即不允许提交工单



找到商品进行购买



生成订单号即可



在工单内容处插入payload



查看提交的工单，确认可以执行



而后通过平台的CSS特征：/static/index/xxxx/xxxxx.css 搜索同类型平台



对同类型平台进行批量撒网，漫长的等待后.......



BurpSuite设置全局Cookie：Proxy-Options-Match and Replace



开启代理后访问后台



在三方对接功能中发现一家供货商平台



看这销售量，基本可以确定是上游



注册手机用户登录



登录后进入个人中心



这里注意到的问题是，前台系统会记录下用户的最后一次登录IP，那么这里可能存在XSS

于是退出重新登录，在POST请求中添加XFF头，内容为payload



果然执行了JS



本来想从前台入手，直到后来在QQ群里发现管理员会把一些订单截图发到群里，原来后台也会记录下单用户的IP



那么我们去下单，同样伪造XFF头进行XSS攻击



下单成功



批量撒网



上游果然很强...........





大多数据卡密商品库存居多，其他官方直冲类商品各家都是有统一的客户端进行实时对接充值发货，整个流程行云流水。







一段时间的观察后，发现这里只是冰山一角.............

后面还有更多的技术支撑着整条产业链，有待探究

水文结束，欢迎关注，Wink~

Thronexx

感谢分享