看我如何干掉裸聊APP
这老哥找到我,发了APP后,我逐步分析,发现该APP没加壳https://attach.52pojie.cn/forum/202102/05/151107jjp4ah4xox1p8q45.jpg
尝试反编译,好像有混淆,我直接选择模拟器抓包,抓出交互的API地址
https://attach.52pojie.cn/forum/202102/05/151429dputiorgowlizui6.jpg
https://attach.52pojie.cn/forum/202102/05/151536m8a8accaiyaiytax.jpg
api地址为:http://104.225.147.64:6003/api/uploads/apisms
APP主要行为为通过APP获取通讯录权限,短信,相册权限,通过api上传相关信息
拿到api地址好办了,扫描服务器端口,发现6002端口,6003端口开放
https://attach.52pojie.cn/forum/202102/05/151819z6lg6qpeptor6ti6.jpg
查找api后台,发现6002端口后台地址为:http://104.225.147.64:6002/admin/common/login.shtml
存在弱口令 admin123456
登录进入后台,
https://attach.52pojie.cn/forum/202102/05/152232gzu0b4dv76yovj8o.jpg
系统设置处可以修改文件上传类型,修改上传类型,添加php类型,上传webshell一条龙
https://attach.52pojie.cn/forum/202102/05/152352kxwnnmnxxvrg96hx.jpg
https://attach.52pojie.cn/forum/202102/05/152421pfvjjfpdoe24ecqd.jpg
拿下该api webshell,查询数据库信息,服务器为127.0.0.1账号为6002,密码为kkk123
https://attach.52pojie.cn/forum/202102/05/152620u6o9efdfqzxfehdf.jpg
通过密码心理学,端口6003的数据库账号密码应该是6003密码为kkk123 尝试通过HTTP隧道登录数据库,查找管理员登录日志
https://attach.52pojie.cn/forum/202102/05/153316y8t648q866tmz664.jpg
发现这些ip多为云南的ip,如有警方需要这些证据,请论坛联系,登录日志已备份
6002和6003用的同一套程序,但是没有弱密码,直接通过数据库修改管理员密码,拿下6003这个后台
好家伙,7000多条数据
https://attach.52pojie.cn/forum/202102/05/153931i9hjxg94qlxzmnmk.jpg
至此,该拿的数据库拿了,发现后台存在大量受害人数据,通讯录,相册,短信等,
https://attach.52pojie.cn/forum/202102/05/163516oyu3gw0u1ucwsf3c.jpg
如何处理?当然是删除了!利用webshell和数据库权限删除掉网站以及数据库,相册内容存储在阿里云oss(可到阿里云取证)上面,通过配置文件查找到阿里云oss key,进入对象存储删除之。
最后告诫广大坛友:色字头上一把刀
不错,顶一个! 大人,此事必有蹊跷! 专业抢沙发的!哈哈 花生、瓜子预备着,我要准备坐沙发了!
页:
[1]