顶流带货一姐在偷税中翻了车，一群“伪顶流”还在愉快玩耍。

近日，一条关于广东雨神”粉丝千万带货卖800”的新闻上了热榜，#流量真伪#的话题再一次让众人唾沫四溅。

在这个万物可直播，流量为王的时代。有时候，伪流量比真的还管用，无论是真人主播还是自媒体账号，它大可撑起商业的半壁江山。

家人们，你们还真别不信!

广州某事件企业旗下的媒体矩阵号称有几百万粉丝，在黑灰经长期追踪和分析下，发现他们的数据水分很大，而他们依靠这种假数据接了无数条广告。

自从2019年起，抖音开始发力直播业务，依托于其庞大流量基础下，抖音直播势如破竹。而魔性的直播+带货方式也渗透到人们的日常生活。

直播带货是成了趋势，不过，短视频兴旺的背后隐藏着许多咱们不知道的内幕。

咱们先来看看以下这张图：

它是一个h5页面，上面有大量相关的短视频账号，这些账号在抖音上可以查询到。如果想给短视频账号造假流量，只需在上面开通会员即可享受点赞、评论、直播充当人气一站式服务特权。

这种模式真伪如何？别着急，黑灰经虽然舍不得花几百块钱开通他们的会员去辨别。可咱们有技术，通过技术一样能让它赤裸裸地站在众人面前。

老规矩，S透之前咱们先对该链接进行信息收集。

根据黑灰经多年的开车经验，这个页面上的每个账号应涉及到头像上传的操作，但也不排除爬取过来的。所以先在登录的页面随意输入一个手机号和密码点击登陆，开始飙Burp车抓包，发现请求和响应数据包全过程做了加密。如果重新撸码进行爆破需要耗不少时间，也只好另寻他法。

这里存在一个问题，户名和密码使用DES加密发送，但是在分析加密过程中发现系统把默认的加密key放在了用户端，还有在http流中明文传输key，咱们是不是可以窃取key对密文进行解密，得到明文账户密码信息？

为了认证，在登录时执行忘记密码操作时，发现没有写加密方式去请求。尝试利用验证码进行爆破，爆破多个账号依然无果。

前期做了充分的信息收集工作，同时在前端静态页面也尝试了挖洞，很遗憾对方做了文件名限制。

黑灰经不得不再次从头始捋一下整个S透逻辑。

让咱们回到用户注册登录页面，用户提交的数据，程序应该是获取数据库中的用户信息，并将用户的信息进行对比验证，再将结果返回前端给用户。在程序找到对应用户的情况下，如果用户输入的信息有误，会不会将密码发送到对应的号码上？

为了实现这一过程，结合SQL注入漏洞果然能破防！利用SQL注入可以避免手机验证将密码发送到对应的号码上。接下来就是GetShell后台上传文件的操作了。后面遇到的问题是因为该程序采用了限制文件扩展名，只能jspx绕过，再进行解析文件。

以下是破防后部分会员情况和后台文件情况：

【会员及后台文截图1】

【会员及后台文截图2】

对于这种模式黑灰经不做过多评价，每种模式都有它独特的魅力所在。只是希望大伙尊法守法，勿为了赚快钱而触碰红线。