怎样成功黑入诈骗网站并一网打尽

早在16年那一段时间，有些人图便宜买别人的二手手机，当时没有闲鱼 转转等二手交易平台，想买卖只能通过社交软件（QQ微信），最先的骗子就是直接在QQ骗钱然后拉黑。
随着二手交易平台的诞生，最近一段时间出现了仿冒闲鱼 转转 交易猫等二手实物、账号的交易平台，这时候，骗子抓住机会也来了....如下就是仿冒闲鱼的诈骗站 一般都是对接的**易购、*东等平台的支付接口 框架用的thinkphp，如下


支付后，闲鱼并不会出现任何订单 这笔钱就给骗子的QQ充值了QB 或者就给骗子的手机号充了话费 即使你投诉了该笔订单，也会发现收款方是一些大公司 如**易购、*东，http://chinabe.cn，投诉也会失败


不仔细看链接的域名（官方的闲鱼域名是http://2.taobao.com），或者复制网页的闲鱼用户名去闲鱼app搜索，根本无法分辨真假 很多人就上当了
然后我打算搞到这个钓鱼站的源码 然后进行代码审计 找到漏洞
运气不错 通过搜索引擎检索找到了源码（2020/11发布的 应该和目标站差不多）


最后在服务器搭建并调试 在后台修改信息那里很快就找到了一个未授权任意文件写入的洞子


靠着代码审计水平(这闲鱼钓鱼站代码写的就离谱了！！！)，找到了这垃圾洞，直接本地复现一下






ok成功。看来我思路没错。最后直接去对方网站，来一遍getshell
结果...钓鱼站把默认的后台地址改了 我用python爆破了下后台地址，最后后台地址是/admin888.php（好家伙，发发发啊）
最后成功getshell


然后我查看了config.php的数据库账号密码 、上传了轻量级mysql，成功拿到了后台的账号密码
发现不仅有闲鱼商品 还有仿冒转转的，且分工明确 有多个用户（实施诈骗的渔夫user）
PS：（最后我把骗子的QQ、源码、数据库sql、域名、后台登录IP私信方式提交给了admin登录IP所在地的XX市网警巡查执法官方微博）
如果问我为什么加水印，我发现很多论坛和博客在克隆吾爱的帖子且不备注来源 只好加上吾爱的水印

-----------------------------

你好 我也被骗过 所以我想问一下 怎么能做到你这种地步 需要学哪个专业 才能报复那些骗子

楼主，请问一下境外的骗子网站你也能破译吗？

求大神 帮忙搞一个骗子钓鱼网站 中国石化加油卡官方充值网站_中国石化网上营业厅

求大神教教我
我被骗了38000多受不了了

你三天前被骗？怎么被骗的