0x00:前言
风和日丽的早上,我和往常一样沉浸在水群的世界当中
当群中传来一阵急促的消息声,复读机们仿佛中了病毒一般不再只是单一的复读
原来是群里某位群友被人色诱钓鱼了,还是最近新出的诈骗方式。底下附上聊天记录
欺负谁不行,非要欺负我群友!
于是乎,我开始了对这神秘软件的研究之旅。
在文中我将用 狼 表示 骗子、狼群 表示 骗子团伙、小绵羊 表示 受害者;
0x01:信息收集
壹 · 反编译APK
通过聊天,我有幸从朋友转发过来的聊天记录中获取到了这个名为依恋的神秘安卓软件 ;
使用APKIDE反编译这个APP ;
从截图中的讯息,我们可以得知这是一款由APICloud无脑生成的APP,并在index.html文件中得到了狼群的实际后台地址;
同时狼群调用了APICloud提供的模块,可以获取机主的手机通讯录以及短信记录等敏感信息 ;
贰 · 踩一踩后端地址
既然我们拿到了软件实际的后端,那肯定没理由不去后台玩一玩的啦
- 直接访问
直接访问根域名发现会自动跳转至[/wap/zfb_1.html],且直接返回404 ;
- 访问API地址
别忘了,我们在反编译的APP中其实是写了一个API地址的,于是我们访问那一个API试试 ;
恩?好家伙 ,这不就是他的登录注册页面么 ;
- 前端代码审计
从代码上可以看出,从小绵羊安装了这一个软件开始,他的手机上的个人信息就已经开始被泄露了;
在小绵羊输入手机号码和授权码按下注册之后,软件就进入了卡死状态;
但是实际上APP已经开始在后台悄悄上传小绵羊敏感数据;
这个时候,狼开始假装他那边软件也卡死了,开始引诱小绵羊进行QQ视频,企图通过色诱小绵羊并悄悄录制小绵羊的不雅视频;
叁 · 踢一踢后端接口
不带参get请求
userCreate请求
好家伙,Debug都不带关的,通过多个API的测试,发现这是一款名为phalapi的PHP框架,其版本号为1.4.2;
搜一搜,看看有没有什么注入方法,发现基本都是框架的开发方式,讲框架漏洞的文章基本都无;
- 掏一掏后台管理
找后台,这后台还需要找么,用狐屁股想一想,域名加上[/admin/],就直接跳转登录界面
F12看看函数
试试发个POST请求试试
What?要安全码?send个123456试试
安全码直接是123456我是没想到的,但是接下来就要账号密码了,这个我没有啊,难道就要在这里放弃了吗;
0x02:劫持请求包,修改返回包
- 搬救兵
实在是没有办法了,狐狸只好去群里请教了一下表哥们;
朋友说这类简易的前后端站点,对token验证都不严谨;
让我直接修改返回包,试试能不能直接绕过认证;
- 使用Burp Suite劫持请求
添加浏览器代理,使请求流量通过burp suite;
- 发送登陆请求
- 设置开启代理拦截
- 修改返回包
- 登陆成功
0x03:收获
不得不说,后台功能挺多的,又是导出通讯录,又是导出短信记录的;
而且这用户量,也太多了吧;
不管了,帮小绵羊删除通讯录和短信记录就是时候撤退啦,剩下的事情就交给警察蜀黍们啦;
最后提醒大家,谨防网络诈骗!
如果后后续的话,再更新吧。
太强了,可转载么
没写什么东西要转可以转
修改 response 绕过验证的道理是啥?验证不是在服务端完成的吗?
这个系统是前后端分离的,前端发送用户登录包后,后端会进行鉴权并返回结果,然后前端根据后端返回来的值在进行一次鉴权,判断是否跳转界面。
这个BUG出现的原因是,后端只对第一次登陆请求进行鉴权,而不对后续的请求进行鉴权,从而导致,只需要绕过前端的登录验证即可获取后端敏感数据。
太强了awa