关于伪流量,也许你一无所知
顶流带货一姐在偷税中翻了车,一群“伪顶流”还在愉快玩耍。
近日,一条关于广东雨神”粉丝千万带货卖800”的新闻上了热榜,#流量真伪#的话题再一次让众人唾沫四溅。
在这个万物可直播,流量为王的时代。有时候,伪流量比真的还管用,无论是真人主播还是自媒体账号,它大可撑起商业的半壁江山。
家人们,你们还真别不信!
广州某事件企业旗下的媒体矩阵号称有几百万粉丝,在黑灰经长期追踪和分析下,发现他们的数据水分很大,而他们依靠这种假数据接了无数条广告。
自从2019年起,抖音开始发力直播业务,依托于其庞大流量基础下,抖音直播势如破竹。而魔性的直播+带货方式也渗透到人们的日常生活。
直播带货是成了趋势,不过,短视频兴旺的背后隐藏着许多我们不知道的内幕。
我们先来看看以下这张图:
它是一个h5页面,上面有大量相关的短视频账号,这些账号在抖音上可以查询到。如果想给短视频账号造假流量,只需在上面开通会员即可享受点赞、评论、直播充当人气一站式服务特权。
这种模式真伪如何?别着急,黑灰经虽然舍不得花几百块钱开通他们的会员去辨别。可咱们有技术,通过技术一样能让它赤裸裸地站在众人面前。
老规矩,S透之前我们先对该链接进行信息收集。
根据黑灰经多年的开车经验,这个页面上的每个账号应涉及到头像上传的操作,但也不排除爬取过来的。所以先在登录的页面随意输入一个手机号和密码点击登陆,开始飙Burp车抓包,发现请求和响应数据包全过程做了加密。如果重新撸码进行爆破需要耗不少时间,也只好另寻他法。
这里存在一个问题,户名和密码使用DES加密发送,但是在分析加密过程中发现系统把默认的加密key放在了用户端,还有在http流中明文传输key,我们是不是可以窃取key对密文进行解密,得到明文账户密码信息?
为了认证,在登录时执行忘记密码操作时,发现没有写加密方式去请求。尝试利用验证码进行爆破,爆破多个账号依然无果。
前期做了充分的信息收集工作,同时在前端静态页面也尝试了挖洞,很遗憾对方做了文件名限制。
黑灰经不得不再次从头始捋一下整个S透逻辑。
让我们回到用户注册登录页面,用户提交的数据,程序应该是获取数据库中的用户信息,并将用户的信息进行对比验证,再将结果返回前端给用户。在程序找到对应用户的情况下,如果用户输入的信息有误,会不会将密码发送到对应的号码上?
为了实现这一过程,结合SQL注入漏洞果然能破防!利用SQL注入可以避免手机验证将密码发送到对应的号码上。接下来就是GetShell后台上传文件的操作了。后面遇到的问题是因为该程序采用了限制文件扩展名,只能jspx绕过,再进行解析文件。
以下是破防后部分会员情况和后台文件情况:
【会员及后台文截图1】
【会员及后台文截图2】
对于这种模式黑灰经不做过多评价,每种模式都有它独特的魅力所在。只是希望大家尊法守法,勿为了赚快钱而触碰红线。