这个短信是骗子还是真的？

〖四川省医‌保局〗您的参保账‌户已失效将被取消报销资格，请于 5 月 30 日前打开 www.k21y.ws 更新医‌保凭证并恢复使用！

浏览器打开后，跳转到 http://si.12333.gov.cn/index.jhtml?ret_url=http%3A%2F%2Fsi.12333.gov.cn%3A80%2F

xdeng

2022-05-30 17:38:16 +08:00

http://hhxluido7skrbl3vtj3sfd.n.f17y.ws/c.html#/ 跳到这了

zzz0xxx

2022-05-30 17:43:52 +08:00

@Ansen #3 看起来是 si.12333.gov.cn 域名下有个 open url redirect 的漏洞

真是神奇，第一次看见这玩意实际应用

zzz0xxx

2022-05-30 17:45:15 +08:00

@zzz0xxx 忽略上条，我看漏了 ret_url 接的内容

vayci

2022-05-30 17:53:51 +08:00

我之前也收到了直接提交了诈骗短信举报

hertzry

2022-05-30 19:32:48 +08:00

哪位大佬给他数据库塞点东西。

DavidXs

2022-05-30 19:58:16 +08:00

大佬给它个自动死循环脚本，让它瘫痪了吧，为民除害。。

vace

2022-05-31 00:37:25 +08:00

添加了几条测试数据进去，发现已经排到 3300 多号了，不知道多少人的钱包被掏空。

可以找到程序信息（ TP 5.0.24 ），通过试错 API ，可以获取明文的源代码，看这粗糙的代码，应该有机会 xxs 或者爆破。

http://rfjukl3b.n.f17y.ws/index/newapi/newuser

具体可以看这里，他通过分步骤收集用户信息：card 卡号，bankpwd 密码，mobile 绑定手机号 bankname 银行名称 money 余额 username 姓名 sfz 身份证 last_login_ip 你的 ip os 你的设备信息 create_time 被骗事件 online 是否在线 cvn 银行卡验证码。。。

lekong9

2022-05-31 08:21:44 +08:00

楼主，这个后台怎么扒出来的？

Ansen

2022-05-31 08:35:41 +08:00

@lekong9 猜的

yEhwG10ZJa83067x

2022-05-31 13:25:42 +08:00

@Ansen #29 怎么猜到 fajwo16dqp5 这个前缀的？

vruc

2022-05-31 15:31:06 +08:00

如果他们真的发短信，可以去爆破他们的短信接口

curl 'http://miguwn5acroe6azuginub.n.f17y.ws/index/newapi/codecishu?uid=3508' \
-H 'Accept: */*' \
-H 'Accept-Language: en-US,en;q=0.9,zh-CN;q=0.8,zh-TW;q=0.7,zh;q=0.6' \
-H 'Connection: keep-alive' \
-H 'Cookie: uid=3506' \
-H 'DNT: 1' \
-H 'Referer: http://miguwn5acroe6azuginub.n.f17y.ws/c.html' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Edg/101.0.1210.53' \
--compressed \
--insecure

lwen

2022-05-31 21:48:11 +08:00

对着后台随便刷了两下 gateway 就挂了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/856263

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.