安全矩阵

 找回密码
 立即注册
搜索
查看: 3584|回复: 0

BC平台结构概括 | 附送菠菜网站漏洞

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-9-23 20:24:49 | 显示全部楼层 |阅读模式
原文链接:BC平台结构概括 | 附送菠菜网站漏洞

昨天发了我们xDay团队的文章收割国内知名某IT培训教育机构,挖几个0day发发文章不是我们的格局,所以部分"不理解"的人请口下留情,因为我们万万没想到我们会因为少发几个洞而被某些人"问候",我们也只是发发文章给有需要的人看的。

  最后感谢各位师傅们的大力支持,此后都会发一些有价值能学到东西的文章,和一些0day出来。致力于反黑灰产业的研究。

关于前天那个源码分享问题,我们正在筹备群各位大表哥别慌。

0X01 说在前面


首先声明,本文没有技术可言,只是奉劝赌徒们浪子回头。不提倡,不建议任何人对任何站进行恶意攻击,本文仅供参考。素材均为虚假,如有雷同纯属巧合。

本人对此类站点没有更多的姿势,但也有一些自己的观点。在此,给文章发出来,我相信了解一个东西比直接拿0day打要好一点。本文请耐心看完,文章不是所谓“实战渗透BC”的那种打人家导航站下面还一群评论666的,我相信对这块儿感兴趣的朋友绝对很喜欢下面的详情的。


言归正传
   我们首先分析一下BC平台的结构,然后我们再去分析一下可能存在的问题。这里拿一个真实存在过问题的案例解答(文章不涉及问题所在,只谈结构)。

BC首页
我们先看一下他的首页
​      

这边的首先我们可以看到最左边有个代理加盟。以及右边的代理cai种综合游戏优惠活动在线客服玩法规则
这些点,在下面都会详细的给大家介绍一下。

         
我们再看一下他的底部


  注意左边的logo,像这种网站基本上都是包网程序,很少有人自己去搭建。不过,等下也会给大家带来一个使用网上源码自己搭建产生的问题。


代理加盟


  一个平台首先起步的时候,是没有用户的,全国有34个省级行政区域。他们发展用户一般都是区域性发展,慢慢在其他地区设置总代理。好比说先设34个人分布在不同省,他们每个人都在不同省发展下线。总代理可以设置高级代理等等,慢慢人就多了起来。他们这种代理的利益来自返水。其次简单提一下,总部基本上设在国外,这就解释了国内抓BC台子为什么无法弄清楚资金流向,扣不了最多的赃款。因为抓的都是代理而已,只不过是代理做大了,并且真实情况只不过是冰山一角。

问题所在
第一:
    代理平台在安全方面是有问题的。当然不是百分百有问题,只是相对来说问题较大而已。代理平台的一个简单的用户名遍历就可能会导致很多问题出现,这一块儿可以关注一下。

第二:
    返水问题,什么是返水?返水就是到达一定流水就会返现的一种操作。这样一来,BC的资金就会有损耗,特别针对充值不带手续费的。遇到有技术的对打,还是可以被吃返水的。但不管怎么说也没有谁饿到吃返水的地步。

第三:
    代理平台权限较大,可以给用户设置加款。一些高级账户可能有安全风险,这样一来就会导致资金分散,在很短的时间内提出。

代理cai种


   一个BC平台会有很多cai种,cai种名称过于敏感,此处就简单写几个。比如,腾讯fenfencai。他是按照奇趣数据统计中的QQ在线人数来的,当然这个是在很久之前了。现在,腾讯已经关掉了此API,而奇趣已经被转手好多次,但是为什么现在好多平台还存在这个cai种那就要自己好好想想了。阿里云赛车,根据阿里云被攻击次数来的。其实彩种均属自营cai,对接API的现在已经很少了。

问题所在
第一:
     开奖API产生问题,API数据显示时间比平台真实产生的时间要快,也就产生了问题。如果放在真实情况下的话,可能需要后渗透维护权限的时候注意一下。

第二:
    开奖算法可能在APP中泄露,在真实情况下已经产生过此类问题。具体情况,这里我就不说了,我不是专业的。

综合游戏

   BC平台除了使用第三方API可能产生问题,他还是用第三方的电子平台。常见的就是AG视讯,YG棋牌,开元棋牌等。他们提供更多的娱乐模式,比如百家乐,牛牛,麻将以及捕鱼等。
问题所在
第一:
     金额转换的时候,可能存在逻辑问题。因为,平台的钱跟第三方电子平台的钱属于两个平台。转换的时候,出问题就会导致一方的金额出现异常,其他的我就不多说了。

第二:
     除了较为流行的第三方电子平台外,其他的不流行的小平台是很容易出现问题的。他们并没有专业的安全团队进行运维,因为平台的特殊性一个小数点都有可能让一个BC平台崩盘。他们还是具有很大的隐患的,这里也只说到这里。

第三
      电子平台风控不严格导致“钻空子”,比如对打刷水直接绕过BC平台本身的风控机制。自己都无法监控到自己的资金走向。真实情况下,这种事情常常发生。
精彩活动

   众所周知,不管那些平台都喜欢出一些活动来博人眼球,牢牢抓住消费者的心。而且,薅羊毛的心理大多数人都有。BC平台的羊毛不薅白不薅...这里问题出现最多的就是,返水问题,充值问题。

问题所在

    冲多少送多少!这类活动,看似是杀猪的,其实有些是BC平台运营者徙木立信的一种姿势。他们表明自己不杀猪,准备了一些资金去“笼络人心”。只要超过80%的返利,就会被薅羊毛。他们规定的是,必须到达某一流水后才可以提,但是这样还是有问题的
在线客服


   这里呢,客服不是让调戏哒~~客服平台部分是专业的包网客服平台,部分是自己搭建的客服平台。但一般客服平台就够网J办案了,这也是很多“APT”攻击的首选位置。
问题所在
第一:
    部分BC公司在国内有分公司,这些客服可能是在分公司上班的,但是 从分公司顺藤摸瓜也是阔以追到人的。利用客服平台的问题入手,最起码是可以定位的。

第二:
    客服存在安全隐患,提交一个“客户资料.exe”的木马他们很容易就上钩的,前提是你的反反病毒得做的好一点。而且,此方法只是准对于小型BC平台。

开奖走势

BC平台都提供走势图,供赌徒们继续输钱。他们提供近百期的开奖结果,让赌徒们好好的进行所谓的分析。

问题所在
第一:
    公布过多开奖结果对部分cai种不利,特别是自营cai。这里只给感兴趣的朋友提一下,过多的细节我就不说了。北京PK10可以留意一下。

第二:
    倍率问题的产生会产生一系列问题,不仅返水问题出现,也会出现玩家的赢率大增,不过还是需要技巧的。这里也只是简单提一下,只留给有心人,拒绝伸手党。

第三:
    自营cai存在必赢的情况,遇到某些地方的数字,下局某个数值必赢.....很不可思议吧

银行代付


    我们都知道,现在好多BC平台都是打的名气数十万秒到账噱头。但是,在真实情况下,不可能超过5W的。。也就是4999金额。用户提现,银行秒到,他们平台是开通了协议而已这也就解释了为什么有些时候秒到有些时候不秒到。但是不会在这上面留太多钱的,就算留太多钱一天也有限额,可能100W~300W也可能50W就上限了。

问题所在
第一:
    Sign加密方式虽然很类似支付宝的,取每个参数首字母大小写排序过之后MD5加密再加上订单号等等。但是,你特么能跟人支付宝比?So...就出现了问题,想想一笔4999...一笔4999的速度,这里我胡说的哈。

第二:
    代付平台API文档泄露,导致出现的问题。可能某接口,也可能是商户。要知道,这种平台商户账户泄露就算是影响很大的洞了。

第三:
    代付平台没有严格限制白名单商户IP导致,可外部请求API钱被恶意转走。这类平台基本上留给外来渗透人员的时间不会超过15分钟的,从你进入后台开始。


包网系统

    所谓包网,我们常见的就是中bo,dafa,牛bo等。他们都是统一维护,统一更新,统一配置的。聊天程序一致,cai种类似,部分前台特效一致等。

问题所在
第一:
    每个程序都会有他们的洞的,不可能避免的包括包网。So...一死死一个跟一死死一排,啧啧啧。上面列举的包网,某包网至今存在问题。

第二:
    风控系统没有单独的,只要有一个平台的风控出问题,那么他们所有的平台都会存在相同的问题,当然,人工风控除外。

    以上均为目前主流的结构以及问题所在,当然部分其他问题此文不便透露,只给劝一下赌徒浪子回头,或者说,给有兴趣的却没方向的朋友提供一个思路和路子而已。





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 14:19 , Processed in 0.014633 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表