【投稿】实战打击闲鱼转转钓鱼灰色产业

本文由作者dadvlingd提供，文章内容由本人实战，意在帮助别人，防止被骗。感谢这位同学的投稿，同时也非常欢迎其他同学踊跃投稿。

华盟君前几天讲的学霸的反击说的就是一理工男学霸在咸鱼购买二手手机被骗的事情。最近这种事情频发，闲鱼、转转等平台上的钓鱼网站层出不穷，让我们来看看dadvlingd同学的实战操作。 

1.寻找目标

在闲鱼上寻找价格明显低于市场价的商品，商品介绍中会有显示因为各种理由要添加微信或者qq的。

 

2.获取链接

添加时在验证信息内填写说过来买飞机，一番交谈之后会给你发送付款链接。

3.开始搞站

得到钓鱼网站链接之后就可以开始搞了，用手机打开页面几乎以假乱真（无人机链接丢了，然后我骗了他的电脑链接，小白绝对认为真的）

用电脑打开这个页面

然后点击我想要-新增地址

4.创建xss代码之后去xss公开测试平台，申请一个账号，创建xss代码。

5.插入代码

在页面中插入代码

然后点击确认下单，会跳到支付宝支付页面。

不要支付，等几分钟。

（这个是自己cookie，没有用） 

6.查看地址

后台那边登录查看了我们提交的xss地址

7.掏出火狐里面的hackbar

8.成功进入后台

9.总结

至于怎么提权，目前还没找到方法，这次的收获是，在后台可以查看到一些订单，昨天晚上看到三个人上当，通过新创建订单里的电话，及时告诉受害者。

希望互联网安全行业，公安行业，建立反诈骗组织，碰到这种钓鱼，直接封掉。本人没有权限直接封掉网站，只能尽自己一份力量，告知即将受害的人。一直在纠结一个问题，我们做反诈骗入侵网站，是否我们触犯了非法入侵计算机罪呢？