写下渗透恶意流氓APP的前言。 最近,我注意到了某b站宝藏稳定的飞机。 那个视频的内容是社会上常见的诈骗和诈骗手段。 其中之一就是利用色情APP,让某人注册,然后无意识地点击授权获取受害者大致是这样称呼的) )的隐私信息,实施恐吓和诈骗。 这次渗透的道路也是从这里开始的
本文从朋友那里收到了他最近收到的APP。 被称为网约人。 看到这个名字,我觉得很适合这种诈骗手段。 因此,开始分析APP,通过逆编译等分析了jar包:
但是看起来没有很大的成果,没有硬编码,也没有后台信息,所以我们开始分析assests文件夹的内容。 因为assets文件夹用于存储静态资源,所以我们着眼于该文件夹中的:
其中也没有得到其他有效的信息,而且hello.html是JS加密的,而且发现这种加密是不可逆的,所以在反编译级别实现恶意软件定位最终也没有成功
但是球队的大人物eki发现,以前尝试用黑匣子测试这个APP时,调用了一个抓住包的API接口。
这里,推测该主机是该恶意app的数据后台,经过前期的信息收集,发现以下信息:
1、部分端口站点使用的是ThinkPHP 5.0.24。 此版本没有RCE漏洞,目前是安全版本
2、该网站开放8000个端口,前端展示为:
这个前端很相似……真的是个未建设的网站
3、该API接口的地址在另一个端口上,端口站点也是ThinkPHP 5.0.24
因此,这里重点关注第二个站点开始收集信息,剩下的两个基本上是403或404
确实正在建设中,好像有后台,有验证码:
但是,考虑到这个验证码可以在第三方库中识别并输入,基于当前的信息,并且正在开发中,请先尝试用较弱的密码进行认证。 弱密码yyds进入后台确实是恶意软件的后台,和宝稳飞机分析的诈骗手法一样,非法获取用户极其敏感的个人信息。
另外,这里安卓苹果似乎很普遍,开发各种系统的APP,令人惊讶的是,这个网站成本非常低,源代码等也可以通过手段购买,敲诈的成功概率非常高,金额也非常少,非常值得一提
存在的敏感功能查看通讯录
查看设备地点
查看设备短信
在短短几天内,确实有很多人可能被欺骗和恐吓。 考虑到在新冠灾祸期间可能会有更多的人受到恐吓,我们打算在此后台进行获取shell
get shell在该网站的后台进行功能搜索时,发现了:
在这里,可以设置允许上传的文件。 因此,直接加入php后,有头像上传功能。 在这里,您可以直接捕获和上传图像,并重命名文件,然后变为:
最后,get shell成功地完成了:
另外,从相关文件获得与数据库有关的数据并进行连接的:
考虑到如果不停止,可能会增加被欺骗和敲诈的人,这里直接删除数据库:
收集所有证据截图后,最终:
总结自己认为是正义的,至少让别人在最近一段时间内不被骗受害,最终实名举报了网警tldyx。 总的来说,我个人觉得国内在这个街区需要更大的打击力。 最终,他警告说,在建设成本和黑产利润不成比例的同时,网络空间安全法还铭记在心。
快三大小单双321节奏是什么意思站成本非常低,源代码等也可以通过手段购买,敲诈的成功概率非常高,金额也非常少,非常值得一提
存在的敏感功能查看通讯录
查看设备地点
查看设备短信
在短短几天内,确实有很多人可能被欺骗和恐吓。 考虑到在新冠灾祸期间可能会有更多的人受到恐吓,我们打算在此后台进行获取shell
get shell在该网站的后台进行功能搜索时,发现了:
在这里,可以设置允许上传的文件。 因此,直接加入php后,有头像上传功能。 在这里,您可以直接捕获和上传图像,并重命名文件,然后变为:
最后,get shell成功地完成了:
另外,从相关文件获得与数据库有关的数据并进行连接的:
考虑到如果不停止,可能会增加被欺骗和敲诈的人,这里直接删除数据库:
收集所有证据截图后,最终:
总结自己认为是正义的,至少让别人在最近一段时间内不被骗受害,最终实名举报了网警tldyx。 总的来说,我个人觉得国内在这个街区需要更大的打击力。 最终,他警告说,在建设成本和黑产利润不成比例的同时,网络空间安全法还铭记在心。
快三稳赚10大技巧里直接删除数据库:
收集所有证据截图后,最终:
总结自己认为是正义的,至少让别人在最近一段时间内不被骗受害,最终实名举报了网警tldyx。 总的来说,我个人觉得国内在这个街区需要更大的打击力。 最终,他警告说,在建设成本和黑产利润不成比例的同时,网络空间安全法还铭记在心。
快三大小单双321节奏是什么意思站成本非常低,源代码等也可以通过手段购买,敲诈的成功概率非常高,金额也非常少,非常值得一提
存在的敏感功能查看通讯录
查看设备地点
查看设备短信
在短短几天内,确实有很多人可能被欺骗和恐吓。 考虑到在新冠灾祸期间可能会有更多的人受到恐吓,我们打算在此后台进行获取shell
get shell在该网站的后台进行功能搜索时,发现了:
在这里,可以设置允许上传的文件。 因此,直接加入php后,有头像上传功能。 在这里,您可以直接捕获和上传图像,并重命名文件,然后变为:
最后,get shell成功地完成了:
另外,从相关文件获得与数据库有关的数据并进行连接的:
考虑到如果不停止,可能会增加被欺骗和敲诈的人,这里直接删除数据库:
收集所有证据截图后,最终:
总结自己认为是正义的,至少让别人在最近一段时间内不被骗受害,最终实名举报了网警tldyx。 总的来说,我个人觉得国内在这个街区需要更大的打击力。 最终,他警告说,在建设成本和黑产利润不成比例的同时,网络空间安全法还铭记在心。