一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

  • A+
所属分类:移动安全
一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

本次渗透实战主要知识点:

1.app抓包,寻找后台地址

2.上传绕过,上传shell

3.回shell地址的分析

4.中国蚁剑工具的运用




目录


0x01 准备工具

0x02 信息搜集

0x03 渗透过程

0x04 挖洞方法总结


0x01 准备工具

  此次渗透实战主要针对安卓APP,赌博APP后台服务器在境外,平台包含多款非法涉赌小游戏。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


1、雷电安卓模拟器,用于运行赌博网站的安装程序。

2抓包工具Fiddler(或burpsuite、 wireshark),用于流量抓包找到网站后台服务器地址。

3Sublist3r、中国蚁剑等常规渗透工具。

 

0x02 信息搜集

1、寻找服务器地址。流量抓包分析网络赌博APP的服务器地址。利用Fiddler抓取安卓模拟器流量,通过分析获取APP后台网站地址:http://****.com。抓包也可以用bp或者wireshark工具,网上教程比较多。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


对抓包发现的域名“****.com”进行查询,发现目标服务器IP地址:x.x.x.x,并进一步对服务器IP在“站长之家”网站查询,确认服务器在境外。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


2、获取子域名。

用Sublist3r.py 工具搜集域名,

python Sublist3r.py -d xxx.com -o 1.txt

发现一些子域名,测试未发现突破口

 

0x03 渗透过程

1、注册登录,发现HTML5页面。App页面注册登录,抓取地址,把抓取到地址拿到浏览器登录,发现APP页面是纯HTML5页面,这就更方便在浏览器里操作了。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

2尝试前台账号注入失败,利用测试号码注册然后Bp抓包改包,寻找注入点,但注入失败。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

3、登录注册用户,发现上传漏洞。浏览用户功能,在个人中心处存在身份审核功能,需上传身份资料以核验用户信息,推断此上传功能可以隐藏木马上传点。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

4经上传fuzz测试,后端程序仅对mime和文件头内容进行校验。修改文件类型的绕过方法,直接上传图片马并修改mime类型,成功上传得到shell地址。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


5、是利用“中国蚁剑”成功连接木马,在服务器网站源码里分析找到数据库配置文件,成功连接数据库。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


6使用中国蚁剑连接数据库成功,得到账号以及密码的哈希值。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

7通过文件目录结构分析,后台为单入口文件,参数s=admin成功跳转后台,通过数据库解密后台账户的hash值,成功登陆后台。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

通过获取管理员后台权限,掌握网站当天注册用户数231户,发生赌博单数86但,资金流水54.2万元。在管理员登陆日志方面,主要登录ip分布在菲律宾、香港、广西、越南等地。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

用户登录日志记录,数据包含用户的id、登录ip、手机号、登录时间等信息。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

用户投注记录,数据包含会员id、投注金额、累计等级礼金等。

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)


0x04 挖洞方法总结

1、查找注入,注意数据库用户权限和站库是否同服务器。

2、查找XSS,目的是进入后台以进一步攻击。

3、查找上传,一些能上传的页面,比如申请友链、会员头像、和一些敏感页面等等,查看验证方式是否能绕过,结合服务器的解析特性。

4、查找下载,在网站的下载栏目,或者文章后面的附件下载链接,测试是否存在未授权的文件下载。

5、查找编辑器,比较典型的ewebeditor、fckeditor等

6、查找可能的后台管理程序,可以尝试弱口令。



往期精彩回顾


▶2021护网公布的漏洞清单

▶2021护网结束,谈谈收入-短暂的体验了一下年薪百万的感觉

▶2021护网日记(十六)- 4/22 hw结束,xdm,明年再见!

▶2021护网日记(十五)- 4/21 蓝队如何后期逆袭加分

▶2021护网日记(十四)- 4/20 一次成功的溯源

2021护网日记(十三 )-  4/19 “阵地”还在,我们依然坚挺

▶2021护网日记(十二)- 4/18 两台服务器失疑似失守,这次“狼”真的来了

▶2021护网日记(十一)- 4/17 有告警,我不报,哎 ,就是玩儿

▶2021护网日记(十)-4/16 HW的夜太长

▶2021护网日记(九)-4/15 带你走进真实的2021护网现场

▶2021护网日记(八)-4/14 “主机不出网,任你0day也枉然”

▶2021护网日记(七)-4/13 HW漫漫,看好革命的本钱?

▶2021护网日记(六)-4/12 InScan是个阴谋么?

▶2021护网日记(五)-4/11 今天的HW报告怎么写?

2021护网日记(四)- 护网第三天,你要的段子这里有

2021护网日记(三)-护网工程如何解决误报、提高沟通效率问题

2021HVV段子-夜班值守加点“料”

▶2021护网日记(二)-活捉“韩毅”

▶2021护网日记(一)-护网前一天最后一次演练

▶2021护网来了,关于合同,你需要知道的6点知识

▶2021护网来了,关于薪酬,你需要知道的6点知识

▶2021护网各厂商面试题汇总(3.24版,持续更新。。


此处提供的所有工具仅供授权状态下使用,如发生刑事案件,非授权攻击行为与本人无关.望大家熟知《网络安全法》.

未经授权,不得转载。一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

长按-识别-关注

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

Hacking黑白红

一个专注信息安全技术的学习平台

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

点分享

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

点收藏

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

点点赞

一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

点在看

本文始发于微信公众号(Hacking黑白红):一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: