对某勒索APP的Getshell

  • A+
所属分类:安全文章

开始

接到任务,分析一恶意APP,涉嫌盗取用户通讯录、短信、定位信息,并对中招用户进行勒索。

分析APP

使用AndriodKiller查看了下APP申请的权限
对某勒索APP的Getshell
可以看到基本都是敏感度很高的权限,模拟器中打开APP。
对某勒索APP的Getshell
APP除了当前能看到的无其他页面,推测应是恶意团伙在三方通讯软件中诱导用户安装。
APP打开后立即读取了通讯录及短信记录并发起了上传。
对某勒索APP的Getshell
尝试XSS,未收到结果,访问APP后端域名,管理员账户弱口令admin/123456。
对某勒索APP的Getshell
对某勒索APP的Getshell
界面很简介,功能点不多,包括了查看通讯录,联系人、短信、定位,并且数据在源源不断的更新。

查找漏洞

由于可操作的功能点不多,<>都进行了实体编码,查看手机号通讯录的位置找到了SQL注入,
对某勒索APP的Getshell
使用了SQLMAP进行了脱库(授权状态下进行)。
对某勒索APP的Getshell
数据库中的一些短信内容,揭示了该团伙后续变现手法。
对某勒索APP的Getshell
对某勒索APP的Getshell
由于数据库不是root权限,无读写权限,os-shell失败,放弃了这条路,Dirsearch尝试fuzz目录。
对某勒索APP的Getshell
成功收获网站备份

代码审计

网站整体代码质量不高,使用D盾扫了下危险函数,发现一处上传文件的代码。
对某勒索APP的Getshell
找到了fileupload.php文件,开始进行本地审计测试。
对某勒索APP的Getshell
这段代码并未校验cookie,同时需要传递一个name参数,作为文件名,之后一路向下
对某勒索APP的Getshell
只要不满足那一堆if就可以到达文件上传处,很明显正常传文件也不是那么容易满足这堆条件,因此写POC直接上传即可。
<body>
<form action="http://xxx.com/lib/webuploader/0.1.5/server/fileupload.php" method="post" enctype="multipart/form-data">
<input type="text" name="name" />
<input type="file" name="file" />
<input type="submit" value="上传文件" />
</form>
</body>
对某勒索APP的Getshell
Getshell
对某勒索APP的Getshell
原创投稿作者:b1cat

点击上方,关注公众号

如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):实战|对某勒索APP的Getshell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: