实战|对某勒索APP的Getshell

admin
admin
admin
137989
文章
113
评论
2022年3月2日03:01:27评论134 views字数 900阅读3分0秒阅读模式

开始

接到任务,分析一恶意APP,涉嫌盗取用户通讯录、短信、定位信息,并对中招用户进行勒索。

分析APP

使用AndriodKiller查看了下APP申请的权限
实战|对某勒索APP的Getshell
可以看到基本都是敏感度很高的权限,模拟器中打开APP。
实战|对某勒索APP的Getshell
APP除了当前能看到的无其他页面,推测应是恶意团伙在三方通讯软件中诱导用户安装。
APP打开后立即读取了通讯录及短信记录并发起了上传。
实战|对某勒索APP的Getshell
尝试XSS,未收到结果,访问APP后端域名,管理员账户弱口令admin/123456。
实战|对某勒索APP的Getshell
实战|对某勒索APP的Getshell
界面很简介,功能点不多,包括了查看通讯录,联系人、短信、定位,并且数据在源源不断的更新。

查找漏洞

由于可操作的功能点不多,<>都进行了实体编码,查看手机号通讯录的位置找到了SQL注入,
实战|对某勒索APP的Getshell
使用了SQLMAP进行了脱库(授权状态下进行)。
实战|对某勒索APP的Getshell
数据库中的一些短信内容,揭示了该团伙后续变现手法。
实战|对某勒索APP的Getshell
实战|对某勒索APP的Getshell
由于数据库不是root权限,无读写权限,os-shell失败,放弃了这条路,Dirsearch尝试fuzz目录。
实战|对某勒索APP的Getshell
成功收获网站备份

代码审计

网站整体代码质量不高,使用D盾扫了下危险函数,发现一处上传文件的代码。
实战|对某勒索APP的Getshell
找到了fileupload.php文件,开始进行本地审计测试。
实战|对某勒索APP的Getshell
这段代码并未校验cookie,同时需要传递一个name参数,作为文件名,之后一路向下
实战|对某勒索APP的Getshell
只要不满足那一堆if就可以到达文件上传处,很明显正常传文件也不是那么容易满足这堆条件,因此写POC直接上传即可。
<body>
    <form action="http://xxx.com/lib/webuploader/0.1.5/server/fileupload.php" method="post" enctype="multipart/form-data">
    <input type="text" name="name" />
    <input type="file" name="file" />
    <input type="submit" value="上传文件" />
    </form>
</body>
实战|对某勒索APP的Getshell
Getshell
实战|对某勒索APP的Getshell
原创投稿作者:b1cat

点击上方,关注公众号

如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(乌雲安全):实战|对某勒索APP的Getshell

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月2日03:01:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|对某勒索APP的Getshellhttp://cn-sec.com/archives/487431.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息