无意有缘拿下“裸聊”APP诈骗网站

         声明:The3ight原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担!

        注意：工具、脚本仅作为学习和讨论使用，禁止利用其进行任何违法行为，与作者无关！

        写在前面：由于工作生活各种原因吧（主要是懒！），公众号已经有150多天没有更新过有内容的文章，其实这期间自己零零散散搞了挺多，有比较简单的，也有费尽心力才搞下的。简单的搞完之后就不想写，觉得发出来没有营养，而难搞的废了大心思和时间之后会有一种很累的感觉，当时提不起笔，再往后拖着拖着也就不想在动笔了。某行动期间其实也溯源反制了几个恶意IP，但是在提交成果报告的时候已经写了一遍并且提交GA部了，就不拿出来了献丑了。能写出这篇文章，首先我要在这里感谢RedT，没有RedT的仁慈也不会让我有真么多时间搞其他的。

    首先给大家普及一下“裸聊”APP诈骗的常见套路，

    第一步：获取公民信息，筛选对象

    犯罪分子通过非法渠道获得公民的姓名、工作单位、手机号码、微信号等个人信息资料。

    第二步：添加好友，网聊铺垫

    犯罪分子以带有美女、帅哥头像的微信号添加好友。若受骗者与其互加好友，先开始一段时间的网聊铺垫。

    第三步：视频聊天，录制“证据”

    对方发出视频聊天邀请引诱受骗者裸聊，而在此过程中，犯罪分子将受骗者裸聊过程录制成视频作为后续敲诈的“证据”。

    第四步：“花钱消灾”，反复敲诈

    在“收集到证据”之后，对方会以散布裸聊视频或将视频向受骗者单位举报、转发亲友等事由对受骗者实施威胁，并多次敲诈勒索。

    裸聊诈骗之所以能屡屡成功，正是抓住了受害人的贪色之心和羞于报警的心态。

正文

        离某行动结束的日子越来越近，奈何RedT不够给面子，每天只能封封一些“超大ICMP攻击”IP这样子。闲暇之余逛了一下某论坛，一篇帖子的名称让我的手不自觉的点了进去。

        “裸聊”诈骗，这个我可听说太多次了，但是也不知道是不是因为我长的太丑了，一直没有“小姐姐”愿意给我发“裸聊”APP。之前看大佬们搞的好不自在，每次看到我就手痒痒，但是手里又没有APP样本，只能望梅（文章）止渴（手痒）。

        拿到APP样本，看起来人畜无害的，长这样。

     话不多说，配置好代理，BurpSuite！启动！

    和大佬们一样，成功抓到Host地址，但是这个APP在输入手机号和邀请码之后就直接报错闪退了，可能写了判断真机与模拟器吧。

        打开抓到的网址，访问，直接就是登录页面，由宝塔搭建，尝试弱口令，无果。尝试密码爆破，无果。尝试登录框注入，失败。目录扫描，无有效信息。尝试其他端口是否存在业务，无果。

        嗯…冷静思考一下，盯着登录页面又看了一下，越看越觉得熟悉。对，之前肯定搞过的，但是忘了用的哪个模板。右键查看源文件，找到了熟悉字符：H-ui。H-ui记得没错的话是可以传马的，但是存在漏洞的文件具体路径忘了，下载了一套相关源码查看目录结构，结合记忆，还是让我找到了上传文件。打开Burp，开始抓包，在最开始拿的时候，这里抓包改包放包之后，提示为

1
{"jsonrpc" : "2.0", "result" : null, "id" : "id"}

        和直接访问上传页面的回显一样，当时以为是没有上传成功的，后来拿下Shell之后再尝试才知道其实是上传成功了，只不过没回显，上传的文件名称也没有改。

     转头说一下另外一种方法，我也是通过这种方法拿下的该站。该框架中还有一个文件存在文件上传，但是只用了preg_match正则匹配函数检查上传内容中是否存在“#^data:image/(w+);base64,(.*)$#”此类内容，过滤不严格，所以可以进行任意文件上传。

1
$src = file_get_contents('php://input');
2
 
3
if (preg_match("#^data:image/(w+);base64,(.*)$#", $src, $matches)) {
4
 
5
    $previewUrl = sprintf(
6
        "%s://%s%s",
7
        isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off' ? 'https' : 'http',
8
        $_SERVER['HTTP_HOST'],
9
        $_SERVER['REQUEST_URI']
10
    );
11
    $previewUrl = str_replace("preview.php", "", $previewUrl);
12
 
13
 
14
    $base64 = $matches[2];
15
    $type = $matches[1];
16
    if ($type === 'jpeg') {
17
        $type = 'jpg';
18
    }
19
 
20
    $filename = md5($base64).".$type";
21
    $filePath = $DIR.DIRECTORY_SEPARATOR.$filename;
22
 
23
    if (file_exists($filePath)) {
24
        die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');
25
    } else {
26
        $data = base64_decode($base64);
27
        file_put_contents($filePath, $data);
28
        die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');
29
    }
30
 
31
} else {
32
    die('{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "un recoginized source"}}');
33
}

        利用该漏洞，成功拿到Webshell。

        拿下Webshell之后，直接一条龙，翻看数据库连接文件，连接至数据库，解密后台密码，成功登录至后台。后台功能比较简单，但是受害者的手机号、通讯录、短信相册等信息都通过“裸聊APP”被上传至该服务器上。初步统计大概有1k+人受害被敲诈，数量还在持续增加。

        最后联系到该论坛的求助大哥，通过交流得知我们竟然还是在同一个城市，这就是缘分吧。把渗透收集到的信息发给了他，并把他的手机号等信息从后台中删除。此次渗透算是告一段落。

        最后的最后，在翻看服务器文件中发现了一句话后门文件，按照文件存在日期和网站搭建日期来看，应该是一直存在于源码文件中的，但是有公钥，连接不了，是蚁剑的马。小弟不才，没有用过RSA编码器生成的马，有大佬懂的话可以留言交流一下。

本文始发于微信公众号（渗透练习生）：无意有缘拿下“裸聊”APP诈骗网站