开始
接到任务,分析一恶意APP,涉嫌盗取用户通讯录、短信、定位信息,并对中招用户进行勒索。
分析APP
使用AndriodKiller查看了下APP申请的权限
可以看到基本都是敏感度很高的权限,模拟器中打开APP。
APP除了当前能看到的无其他页面,推测应是恶意团伙在三方通讯软件中诱导用户安装。
APP打开后立即读取了通讯录及短信记录并发起了上传。
尝试XSS,未收到结果,访问APP后端域名,管理员账户弱口令admin/123456。
界面很简介,功能点不多,包括了查看通讯录,联系人、短信、定位,并且数据在源源不断的更新。
查找漏洞
由于可操作的功能点不多,<>都进行了实体编码,查看手机号通讯录的位置找到了SQL注入,
数据库中的一些短信内容,揭示了该团伙后续变现手法。
由于数据库不是root权限,无读写权限,os-shell失败,放弃了这条路,Dirsearch尝试fuzz目录。
代码审计
网站整体代码质量不高,使用D盾扫了下危险函数,发现一处上传文件的代码。
找到了fileupload.php文件,开始进行本地审计测试。
这段代码并未校验cookie,同时需要传递一个name参数,作为文件名,之后一路向下
只要不满足那一堆if就可以到达文件上传处,很明显正常传文件也不是那么容易满足这堆条件,因此写POC直接上传即可。
<body>
<form action="http://xxx.com/lib/webuploader/0.1.5/server/fileupload.php" method="post" enctype="multipart/form-data">
<input type="text" name="name" />
<input type="file" name="file" />
<input type="submit" value="上传文件" />
</form>
</body>
点击上方,关注公众号
如文章对你有帮助,请支持点下“赞”“在看”
本文始发于微信公众号(HACK之道):实战|对某勒索APP的Getshell
评论