中秋节马上来临了，有点事提前回了老家。邻居在一个任务网赚平台做了一个多月，赚了七百多块钱，提现快一个月了一直没到账，联系客服也没有人搭理，她打开app让黑灰经看是什么情况。这是一个名为某盟的app，是一个打着区块链名义的平台。用户可以在上面刷视频广告，做一些任务赚钱。在应用商城上找不到它，只能从网上下载。回了公司便针对这个app进行测试，想看看是怎么回事。

在模拟器上装了android 系统，并通过 wireshark 抓包进行流量分析，发现有几个接口，但检测后没有发现有实质性的东西。

如果仅仅是手机验证码登录，找不到问题。但这个app还对接上了qq和微信的登录功能。使用qq或者微信授权登录，这里存在一个问题。就是用户登录后，app会将用户信息上传到服务器读取，这一过程是通过public目录下的httpsusers.aspx接口来完成。利用这个接口配合web.config上传文件显示失败，被系统拦截。通过寻找原因发现服务器是不能支持aspx。web.config是一个xml文本文件,它用来储存asp.netweb。只好将asdx解析为asp。解析后上传但还是被拦截，测试了好几次还是行不通，只好再写一个cmd脚本，最终绕过安全狗的拦截。

由于这个平台的服务器不支持aspx，直接利用aspx执行shell，上传数据库的操作命令读取web.config配置信息也不行，还需将其后缀改成aspx才能获取system的权限。

system有很高的权限，一旦获取进入后台就轻松了。用 nmap 对IP 地址进行全端口扫描，发现其数据库是默认的3306端口，结合system权限并且通过8080端口能访问到其日志，提取出后台登录密码及账号。登录后台，申请提现的数据3页面半，有几十人，提现显示都是在审核中。

通过看后台的代码才知道，他们在代码中嵌入了某粒等正规的平台广告链接进行封装，让别人在他们的app上面刷对接的广告，当然获利的是他们，估计这是他们的获利方式吧。做任务的人数虽不多，黑灰经怀疑这个平台应该没多久就会编译重新搞，他们会割完这一批韭菜接着割下一批。黑灰行业的手段各种各样，像这种平台估计也烧了点钱，除非它的源码已经公开，可以二开。这两年的各种网赚台子出现不少，大家需要谨慎，否则一不小心会踩到雷。