对某勒索APP的Getshell

admin 2021年2月18日01:30:50评论182 views字数 902阅读3分0秒阅读模式

开始

接到任务,分析一恶意APP,涉嫌盗取用户通讯录、短信、定位信息,并对中招用户进行勒索。

分析APP

使用AndriodKiller查看了下APP申请的权限
对某勒索APP的Getshell
可以看到基本都是敏感度很高的权限,模拟器中打开APP。
对某勒索APP的Getshell
APP除了当前能看到的无其他页面,推测应是恶意团伙在三方通讯软件中诱导用户安装。
APP打开后立即读取了通讯录及短信记录并发起了上传。
对某勒索APP的Getshell
尝试XSS,未收到结果,访问APP后端域名,管理员账户弱口令admin/123456。
对某勒索APP的Getshell
对某勒索APP的Getshell
界面很简介,功能点不多,包括了查看通讯录,联系人、短信、定位,并且数据在源源不断的更新。

查找漏洞

由于可操作的功能点不多,<>都进行了实体编码,查看手机号通讯录的位置找到了SQL注入,
对某勒索APP的Getshell
使用了SQLMAP进行了脱库(授权状态下进行)。
对某勒索APP的Getshell
数据库中的一些短信内容,揭示了该团伙后续变现手法。
对某勒索APP的Getshell
对某勒索APP的Getshell
由于数据库不是root权限,无读写权限,os-shell失败,放弃了这条路,Dirsearch尝试fuzz目录。
对某勒索APP的Getshell
成功收获网站备份

代码审计

网站整体代码质量不高,使用D盾扫了下危险函数,发现一处上传文件的代码。
对某勒索APP的Getshell
找到了fileupload.php文件,开始进行本地审计测试。
对某勒索APP的Getshell
这段代码并未校验cookie,同时需要传递一个name参数,作为文件名,之后一路向下
对某勒索APP的Getshell
只要不满足那一堆if就可以到达文件上传处,很明显正常传文件也不是那么容易满足这堆条件,因此写POC直接上传即可。
<body>
<form action="http://xxx.com/lib/webuploader/0.1.5/server/fileupload.php" method="post" enctype="multipart/form-data">
<input type="text" name="name" />
<input type="file" name="file" />
<input type="submit" value="上传文件" />
</form>
</body>
对某勒索APP的Getshell
Getshell
对某勒索APP的Getshell
原创投稿作者:b1cat

点击上方,关注公众号

如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):实战|对某勒索APP的Getshell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年2月18日01:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对某勒索APP的Getshellhttp://cn-sec.com/archives/268195.html

发表评论

匿名网友 填写信息