分析莆田某外贸仿牌公司操作流程

本来想撸一下，看了下网站的来源，有个奇葩的来路

http://www.acunetix-referrer.com

我个娘啊。老农民种菜第一次见这种的，难道小站值得用如此神器日吗？

额滴亲娘啊。这位IP 39.155.189.6 你要闹啥事，瞎的我改了密码，让你爆破都爆破不了。

当然，老农民一直深信，山外有山，人外有人，肯定有大牛会撸的下我的田地，强拆我的房，不过老农民觉的，房子钱财乃身外之物，做人呢，有烟抽，有饭吃，有衣物遮羞就好了。

不过，专业点啊，不是随便拿着扫描器撸就完事了！

我的小密圈内有不少朋友是做外贸的，反正形形色色的朋友都有，今天就分析分析一个外贸的案例。我也是谷歌随便找的，所以如果伤害了某些莆田大佬，欢迎留言删除，我定删！

嗯 语法就是 你的仿牌长尾关键词 + inurl:.php?

当然，你也可以.asp?等等，据我长期种田的经验，国内一大堆人都是收.php做，因为asp麻烦呀，各种权限的问题。

我写东西的习惯就是一边锄禾，一边日当午，所以目标很随机。希望误伤到了请吭一声，我好做好被揍的准备。

目标最初是定在http://yeezyboost750uk.co上面。发现这个的过程很简单，以下是方法。我已经忘记了第一次是怎么打开这个网站的，原来我记性有点差。

大概过程如下。

打开 http://www.moreycourts.com/yeezyv2sale.php

源码

调用了一个第三方的JS

我们继续跟进

以上就是来路是google bing yahoo aol的访客，就跳到仿牌站点上。

于是这个仿牌的公司就是我们的目标了。

网站是opencart的 别问我为啥，看COOKIE,看url的路径就知道了。

opencart没啥漏洞，除了后台可以getshell，前台很少爆漏洞了。

所以我这里直接点，先查同IP的

这样我们就得到了很多相关的网站。

（不要问我为什么这样字，因为同IP的都是一个类型的仿牌站，就可以都是一个公司的）

目标越多，希望越大。

老套路，扫描压缩包一下

从这里要打码了，万一这个大佬刚好都是一个圈内。

我们扫到了一个压缩包。

http://www.affadsense.com/affadsense.tar.gz ( 相关路径已经替换 )

我们用NMAP扫描下端口。

Starting Nmap 6.40 ( http://nmap.org ) at 2017-05-19 19:55 CST
Nmap scan report for 74-82-163-241.genericreverse.com (74.82.xx.xx)
Host is up (0.0025s latency).
Not shown: 65028 filtered ports, 502 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
80/tcp open http
443/tcp open https
8089/tcp open unknown


8089端口经过，测试是WDCP的面板入口，不过此时根据压缩包里面的MYSQL连接账号和密码，已经失效了。

不过老农民机智，历史IP查一下。

旧IP也是WDCP，我们直接用账号密码进入看看：

数据库里有个几个表是专门记录订单的，这个站应该曾经拿来用做订单的接口。

后台统计到的订单数是 10,655，很吓人。

我们用MYSQL查询订单的统计的最后一天的单子数量

有11单。

# 其他的信息挖掘 #

由于我们有他的历史源码，这里我也挖出了一些敏感的信息。

比如信用卡的数据

这个付款的接口竟然把信用卡的信息直接记录下来？

这是要黑吃黑的节奏吗？

箭头的地方，就是CCV的卡号，日期，有效期等等。

还有一个进行产品自动伪原创的接口

读取config.php的数据库信息，进行连接，然后通过TBS的API进行批量替换伪原创。

当然 还有火车头采集入口的PHP接口程序，这些他们的小脚本，需要的话，我会传小密圈内分享。

点到为止，这里我就不继续深入他的整个站群搞了。

我们来下他的黑页代码

相对来说，代码就比较简单了。

判断蜘蛛，如果HTTP_USER_AGENT 包含bot,就显示远程的页面内容。

如果不是蜘蛛，就输出js的调用代码，然后进行跳转。当然，代码我也会相应的分享在我的小密圈内。

需要的话，还没加入我的小密圈的话，可以公众号留言，我会发送下载地址。

另外附上老外的一篇报告:

Anatomy of a Blackhat SEO spam campaign (with a twist) &＃8211; Cato Networks

差不多已经搞懂了这个公司做仿牌的套路了。我就不继续深挖了。点到为止，毕竟自己也不想惹事。

就到这里了。