项目实战 | 记一次对恶意流氓app的渗透

gclome

原文链接：项目实战 | 记一次对恶意流氓app的渗透

前言
最近关注到一位b站宝藏up主，其视频内容就是社会常见诈术和诈骗手段，其中一类就是利用一些色情流氓app使得某些人注册并且不经意间点击授予权限非法获得被害人(暂且这么称呼)的个人隐私信息，对其实施恐吓威胁和诈骗，本次的渗透之路也是自此开始的
正文

从朋友那拿到了一个最近他收到的app，叫做遇见网约，一看这个名字就感觉和该类诈骗手段非常贴切，因此开始对该app进行分析，通过反编译等方式对jar包进行分析:

​


但是看下来似乎没有很大的收获，没有硬编码也没有后台信息，于是开始分析assests文件夹里的内容，因为assets文件夹用来存放静态资源，随之把目光放到了该文件夹内:
​

其中也没获取到其他有效信息，并且hello.html是进行JS加密，而且发现该加密是不可逆的，因此从反编译层面实现对该恶意软件的定位也最终没有成功

不过队里大佬eki之前尝试在对该app进行黑盒测试时，通过抓包发现其调用了某一API接口

​

这里推测该主机就是该恶意app的数据后台，经过前期的信息收集，发现如下信息:
1、某部分端口站点使用ThinkPHP 5.0.24，该版本不存在RCE漏洞，也是目前较为安全的版本
2、该网站开放8000端口，并且前端展示为:

​
这前端像极了....真的是未建设完成的站点

3、该API接口地址在另一端口，且该端口站点也是ThinkPHP 5.0.24

因此这里着重对第二个站点开始信息的收集，而其余两个基本都403或者404
​

看来确实正在建设中，存在后台并且有验证码:
​

不过该验证码是可以通过第三方库来识别并且输入的，基于目前的信息，并且考虑到正在开发中，因此可以先尝试弱口令验证一下，弱口令yyds，进入后台发现的确是该恶意软件的后台，并且和宝藏up主所分析的诈术一样，非法获取了用户极为敏感的个人信息：
​

并且这里安卓苹果通吃，看来是开发了不同系统的app,不过值得一提的是，这种建站成本极低，并且源码等都能通过手段进行购买，而实施敲诈勒索成功概率极大并且涉及金额也不小，可以看到，短短几天内便有20多人受骗
存在的敏感功能
查看通讯录
​

查看设备地点
​

查看设备短信
​

短短几天内的确很多人上当，也可能已经被恐吓敲诈，考虑到疫情期间可能更多人会被敲诈勒索，尝试对该后台进行getshell
Getshell
在对该站点后台进行功能探索时发现:
​

这里允许我们设置允许上传的文件，因此我们直接加入php后，并且存在头像上传功能，这里直接抓包上传图片马修改文件名后:
​

最后getshell成功:
​

并且从相关文件中得到数据库的相关数据后进行连接:
​

考虑到如果不制止可能会有更多人上当受骗，并且被敲诈勒索，这里直接对数据库进行删除:
​

收集完所有证据并且截图后最终:
​

总结

做了自己觉得正义的事情，至少避免其他人在近一段时间内被骗受害，最终也是实名举报给了网警叔叔，总的来说个人感觉国内在这一块的还需要更大的打击力度，毕竟建站成本和黑产获利不成正比，同时也告诫自己，网络空间安全法牢记心中！

作者博客:https://www.crisprx.top/