最近因裸聊被诈骗的人越来越多,其行骗过程就是 通过微信或qq聊天,骗子说和受害人裸聊,然后会给受害人发一个app,让受害人安装,这个app是一个木马,会把手机通讯录和短信及其位置信息发送到骗子的后台,骗子通过这些信息威胁受害人。正巧我从兄弟那里弄到了一个这样的木马APP,为了记录一下我的渗透过程,我详细的整理了一下思路。
一、开始分析木马APP
我先下载了这个app,然后进行反编译,得到app源码,进行分析,这里的反编译过程我参考的这篇文章 非常感谢这位博主,点击查看反编译教程
因为我在2020年3月中旬开始对其渗透的,由于时间太久了,目前这个app已经不提供下载了,app源码已经让我弄丢了,通过分析源码(这个app代码写的很简陋,界面也做的简单,使用的HBuilderX开发的),我发现了骗子网站后台的URL地址,开始对该网站渗透。
二、寻找网站的漏洞
1. 打开网站后台,界面如下:
我仔细地查找这个页面的信息,希望它尽可能为我提供更多的线索,功夫不负有心人,我找到了这条线索:
我打开这个js代码,http://www.xxxxx.com/static/h-ui/js/H-ui.min.js,向我透露了非常关键的信息:
于是我打开了这个网站,发现骗子使用的前端框架就是该网站提供免费源码的修改版,http://www.h-ui.net/,为什么我敢这么说,因为我下载了该源码,连网站登录界面都一样,目录结构也一样,如下图展示:
下一步,我就开始查看下载的原版前端源码,发现了一个特别特别特别 “23333” 的文件上传方法:
因为这段代码太危险了,我抱着试一试的心态,看看骗子有没有把这个文件从他网站删除掉,尝试访问这个地址,结果成功了,我当时就鸡儿一震,至此为止,我已经研究了两天了,终与要有质的飞跃,其如下图:
终于找到了一个文件上传的方法,于是我就开始肆无忌惮的嘿嘿了,其我干的事情如下:
a. 写了一小段php代码,并起了一个性感的名字 “dark.jpg”,把该图片上传上去,其代码如下:
<?php phpinfo();?> /*如果骗子没有禁用phpinfo()函数,这段代码可以显示php信息,一般都不禁用该函数*/
然后访问该文件,出现了如下信息:
ok,成功显示php配置信息,冷静的打开kail虚拟机,下面我要开始表演了.
b. 我使用了kail 自带的 weekly工具生成了一个名字为flower.jpg的木马,并把它上传到了骗子网站的某个角落里。
weekly generate wolaiguangyiguang flower.jpg /*密码:wolaiguangyiguang 文件名:api_config.php
使用kail连接该木马,连接成功,这次骗子的网站完完全全的暴露了在我的眼下,就像这个网站骗取纯情男孩的方式一样,我和这个网站开始裸聊了,下一步我要开始把这个骗子小少女的衣服一层一层的拨开,露出她那奸猾而黑暗的心。(也许这背后的人就不是小少女,而是油腻大叔)
c. 我下载了骗子网站的所有源码,开始分析源码,其网站的结构,我心里已经大概有个谱儿了,并且找到了数据库的登录账号密码。
为了方便以后直接查看骗子后台账号与密码,我就给代码加了一些调料,修改了代码,并上传上去了,修改后的代码如下:
然后就用我自己的猥琐方法,得到了所有管理员密码账号,只需在访问时稍微改一下URL的请求,如下所示:
(1)正常访问时的界面
(2)添加一些调料后再次访问的界面
d. 我开始尝试反弹shell以获取系统的root权限,最后都失败了,因为骗子使用的宝塔管理,禁用了好多php函数,也了解了宝塔之前爆过的XSS漏洞。
e. 为了能够访问系统的根目录,我修改了一些配置文件,这个名字为.user.ini的配置文件可以定义目录的访问位置,于是我就把:
open_basedir=/www/wwwroot/www/:/tmp/:/proc/
修改为如下:
open_basedir= /
这样我的木马就可以访问系统的根目录了,更方便的查看文件了,如下图,访问系统根目录:
然后我开始翻找目录,终于找到了骗子网站的一个熟悉界面,很熟悉的一个界面,如下:
三、总结
我还想尝试写一个能够获取位置的代码,上传到骗子网站,这样骗子下次在登陆后台,就有一定概率获取骗子的位置。就先记录到这吧,我会想办法上传网站源码,下面是一些截图,供大家学习参考。
转载:https://blog.csdn.net/wangshuo747/article/details/105931473