挖掘犯罪链条中的URL跳转

0x01 前言

2023年5月，接到朋友求助，他的母亲被诈骗5万元，诈骗人使用的是他哥哥的微信号，找到我寻求帮助。

经过研判，对方盗取了被害人亲戚的微信号，以老套的诈骗方式“是我是我诈骗”进行作案。

0x02 骗局分析

利用钓鱼链接，让被害人帮忙微信投票，在投票时提示需要登入微信，需要微信的账号密码以及验证码

在盗取微信号后，伪装成本人向亲朋好友借钱

0x03 挖掘犯罪链条中的URL跳转

在拿到盗号的二维码后第一时间对URL进行分析，套路其实很老套，就是我上面说的那些，在挖掘过程中，犯罪链条中的一环跳转了某个大厂的URL

犯罪链条经过了一层某大厂URL跳转，使得诈骗网站可以逃过QQ/微信等聊天工具的URL检测，成功混进了白名单，没有提示危险

若跳转的链接非白名单URL，则出现拦截，显示是否确认跳转，如下图：

若链接是白名单，则直接跳转

0x04 URL跳转绕过

综上所述，如果非白名单就会出现拦截 如 http://127.0.0.1/?url=http://xxx.cn

尝试白名单，已知该厂商的白名单有 baidu.com qq.com等

白名单成功跳转，无任何提示直接跳转

0x05 犯罪链条中的利用

已知 http://127.0.0.1/?url=http://baidu.com是直接跳转的白名单

绕过 http://127.0.0.1/?url=http://baidu.commxxx.cn 利用二级域名绕过检测规则

绕过方法2 http://127.0.0.1/?url=http://baidu.com.xxxxx.cn

0x06 声明

案子已经过去几个月了，也已经结案了，但是该漏洞还是没有修复，为了避免扯皮，我全程使用厚码，只提供思路进行讨论。

本文章仅用于技术研究探讨，非法利用后果自负。

0x07 吐槽

本是公益，报告完整写出了几个绕过点，第一次给我忽略漏洞，第二次让我提供被骗的证据

当我提供了朋友立案的证据后，接受了该漏洞

本是公益，不为了一分一毫，花了时间精力去挖掘去写报告，换来的却是低危 1分 报告质量：差

毫无疑问，这给”差“是给我的，像一巴掌一样拍在我脸上。

对得起我吗？某大厂