0x00:前言

风和日丽的早上,我和往常一样沉浸在水群的世界当中
当群中传来一阵急促的消息声,复读机们仿佛中了病毒一般不再只是单一的复读
原来是群里某位群友被人色诱钓鱼了,还是最近新出的诈骗方式。底下附上聊天记录
聊天记录
聊天记录
聊天记录

欺负谁不行,非要欺负我群友!
于是乎,我开始了对这神秘软件的研究之旅。

在文中我将用 表示 骗子狼群 表示 骗子团伙小绵羊 表示 受害者


0x01:信息收集

壹 · 反编译APK

通过聊天,我有幸从朋友转发过来的聊天记录中获取到了这个名为依恋的神秘安卓软件
聊天记录
使用APKIDE反编译这个APP
APK信息
短信
从截图中的讯息,我们可以得知这是一款由APICloud无脑生成的APP,并在index.html文件中得到了狼群的实际后台地址;
同时狼群调用了APICloud提供的模块,可以获取机主的手机通讯录以及短信记录等敏感信息

贰 · 踩一踩后端地址

既然我们拿到了软件实际的后端,那肯定没理由不去后台玩一玩的啦

  • 直接访问

直接访问根域名发现会自动跳转至[/wap/zfb_1.html],且直接返回404
直接访问

  • 访问API地址

别忘了,我们在反编译的APP中其实是写了一个API地址的,于是我们访问那一个API试试
API
恩?好家伙 ,这不就是他的登录注册页面么

  • 前端代码审计

代码审计
用户创建函数
上传用户通讯录
上传用户短信记录
从代码上可以看出,从小绵羊安装了这一个软件开始,他的手机上的个人信息就已经开始被泄露了;
小绵羊输入手机号码和授权码按下注册之后,软件就进入了卡死状态;
但是实际上APP已经开始在后台悄悄上传小绵羊敏感数据;
引诱用户
这个时候,开始假装他那边软件也卡死了,开始引诱小绵羊进行QQ视频,企图通过色诱小绵羊并悄悄录制小绵羊的不雅视频;

叁 · 踢一踢后端接口

不带参get请求
service

userCreate请求
userCreate
好家伙,Debug都不带关的,通过多个API的测试,发现这是一款名为phalapi的PHP框架,其版本号为1.4.2;
搜一搜,看看有没有什么注入方法,发现基本都是框架的开发方式,讲框架漏洞的文章基本都无;

  • 掏一掏后台管理

找后台,这后台还需要找么,用狐屁股想一想,域名加上[/admin/],就直接跳转登录界面
后台地址
F12看看函数
userLogin
试试发个POST请求试试
安全码
What?要安全码?send个123456试试
账号
安全码直接是123456我是没想到的,但是接下来就要账号密码了,这个我没有啊,难道就要在这里放弃了吗;


0x02:劫持请求包,修改返回包

  • 搬救兵

实在是没有办法了,狐狸只好去群里请教了一下表哥们;
朋友说这类简易的前后端站点,对token验证都不严谨;
让我直接修改返回包,试试能不能直接绕过认证;

  • 使用Burp Suite劫持请求

添加浏览器代理,使请求流量通过burp suite;

  • 发送登陆请求

请求报文

  • 设置开启代理拦截

开启代理拦截

  • 修改返回包

修改返回包

  • 登陆成功

登录成功


0x03:收获

不得不说,后台功能挺多的,又是导出通讯录,又是导出短信记录的;
后台功能
用户短信
用户通讯录
而且这用户量,也太多了吧;
用户记录
不管了,帮小绵羊删除通讯录和短信记录就是时候撤退啦,剩下的事情就交给警察蜀黍们啦;
最后提醒大家,谨防网络诈骗!

如果后后续的话,再更新吧。

Last modification:July 26th, 2020 at 11:52 am
If you think my article is useful to you, please feel free to appreciate