记一次对恶意流氓app的渗透

记一次对恶意流氓app的渗透

前言

最近关注到一位b站宝藏up主,给我一个镜头V,其内容就是社会常见诈术和诈骗手段,其中一类就是利用一些色情流氓app使得某些人注册并且不经意间点击授予权限非法获得被害人(暂且这么称呼)的个人隐私信息,对其实施恐吓威胁和诈骗,本次的渗透之路也是自此开始的

正文

从朋友那拿到了一个最近他收到的app,叫做遇见网约,一看这个名字就感觉和该类诈骗手段非常贴切,因此开始对该app进行分析,通过反编译等方式对jar包进行分析:

upload_bffb1e23b347a944c3cd5f97f3ac7f0f

但是看下来似乎没有很大的收获,没有硬编码也没有后台信息,于是开始分析assests文件夹里的内容,因为assets文件夹用来存放静态资源,随之把目光放到了该文件夹内:

upload_2403760d2098718168813bbf11dfccf8

其中也没获取到其他有效信息,并且hello.html是进行JS加密,而且发现该加密是不可逆的,因此从反编译层面实现对该恶意软件的定位也最终没有成功

不过队里大佬eki之前尝试在对该app进行黑盒测试时,通过抓包发现其调用了某一API接口

upload_b74a62ffb11e74c41106ed66ad884cab

这里推测该主机就是该恶意app的数据后台,经过前期的信息收集,发现如下信息:

1、某部分端口站点使用ThinkPHP 5.0.24,该版本不存在RCE漏洞,也是目前较为安全的版本

2、该网站开放8000端口,并且前端展示为:

upload_9592436119b29d47a1cecc15d245ebe1

这前端像极了....真的是未建设完成的站点

3、该API接口地址在另一端口,且该端口站点也是ThinkPHP 5.0.24

因此这里着重对第二个站点开始信息的收集,而其余两个基本都403或者404

upload_3d722d61d0fbc32cbe5a7a9a487e69ae

看来确实正在建设中,存在后台并且有验证码:

upload_c3b5bb20189a8ad246a17cc0842369a0

不过该验证码是可以通过第三方库来识别并且输入的,基于目前的信息,并且考虑到正在开发中,因此可以先尝试弱口令验证一下,弱口令yyds,进入后台发现的确是该恶意软件的后台,并且和宝藏up主所分析的诈术一样,非法获取了用户极为敏感的个人信息:

upload_36b7d91376f148236ef89a20e7a643b5

并且这里安卓苹果通吃,看来是开发了不同系统的app,不过值得一提的是,这种建站成本极低,并且源码等都能通过手段进行购买,而实施敲诈勒索成功概率极大并且涉及金额也不小,可以看到,短短几天内便有20多人受骗

存在的敏感功能

查看通讯录

upload_3a76efa11ee942ddf20d48f7702031ed

查看设备地点

upload_089defa2821b9627a162287304dd080a

查看设备短信

upload_6883658a9509bb2abdd204d17cd7a58d

短短几天内的确很多人上当,也可能已经被恐吓敲诈,考虑到疫情期间可能更多人会被敲诈勒索,尝试对该后台进行getshell

Getshell

在对该站点后台进行功能探索时发现:

upload_0ad9b092d84f546ab5981359a99ce3e7

这里允许我们设置允许上传的文件,因此我们直接加入php后,并且存在头像上传功能,这里直接抓包上传图片马修改文件名后:

upload_a272f1ec745dfafda30f1675918b5e8b

最后getshell成功:

upload_686d4e65e4cf947fb78dbb5dfcebe52b

并且从相关文件中得到数据库的相关数据后进行连接:

upload_7003b8f45c528411e3110292cc8a12f4

考虑到如果不制止可能会有更多人上当受骗,并且被敲诈勒索,这里直接对数据库进行删除:

upload_a4fbb5ea03670058932b05eff9edd30d

upload_fe6aefe3c9a51fed296c32c9a4f5ef25

收集完所有证据并且截图后最终:

upload_e54382ffe963045b11ded15fc53bd882

upload_56cc7f57099454871c38f9249c69157b

总结

做了自己觉得正义的事情,至少避免其他人在近一段时间内被骗受害,最终也是实名举报给了网警叔叔,总的来说个人感觉国内在这一块的还需要更大的打击力度,毕竟建站成本和黑产获利不成正比,同时也告诫自己,网络空间安全法牢记心中!

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇