点击关注公众号,知识干货及时送达👇
前言
众所周知,金融行业具备较强的互联网侧安全防护能力,通过传统WEB攻击方式已经很难取得正面突破。攻击方愈发重视社工钓鱼、供应链攻击及对移动APP、公众号、微信小程序等的攻击。
利用APP后台组件漏洞突破目标外网
在对某银行的攻防演练中,每个攻击队员分工合作,充分利用自己的优势,通过各种各样的方法尽可能多地搜集该银行暴露的资产信息和敏感信息等,为制定出更全面、更有效的攻击战略提供信息基础,获得先机。
从收集到的信息中筛选出可进行攻击的网站、系统、APP 等清单,希石攻击队员敏锐地发现,该银行的APP更新不久,存在多个版本,预计旧版本的砸壳成功率很高,于是将APP作为首要攻击入口。为了验证这一入口是否可行,攻击队迅速从应用商店获取了该银行的手机APP程序,考虑到最新版本APP的安全性,攻击队以旧版本的APP作为入口尝试进行突破。
从应用商店下载了多个版本的APP,由于APP都是加密后的文件,逆向APP就得先砸壳。攻击队通过利用常见的砸壳工具对选中的APP进行自动化砸壳。果然如攻击队所料,旧版本的APP很快砸壳成功。对于砸壳成功的APP,攻击队进行脱壳反编译代码操作,希望从代码中获得蛛丝马迹。经过对代码的审计研究后发现,在com.catk.creditforload.sdk.a 类中找到如下2个接口地址:
http://x.x.x.x:18082/sdk-managerment
http://x.x.x.x:9501/SDKManagerment
攻击队对上面的接口进行调试后,发现后台使用了版本较低的 Struts2.0组件,极有可能存在Struts2 的历史漏洞。经过验证,漏洞存在,攻击路径可行。最终,攻击队成功利用Struts2反序列化漏洞突破该目标外网,越过防火墙,获取到手机 APP后台组件管理服务器的控制权限,以服务器为通道暗度陈仓进入内网,进行横向渗透,不出所料,攻击队拿下目标靶机。
小结
不同行业、不同体量、不同安全能力阶段的客户,面临的APP安全威胁和隐患不同,需结合APP所处业务场景、监管要求等特点,定制更具体详细、更贴合实际、更满足监管、更符合实战对抗的APP安全解决方案。
- End -
哦原文始发于微信公众号(希石安全团队):【案例分享】APP典型攻击手段实现(上)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论