3. 

        2. 一次對(duì)賭博類APP的滲透實(shí)戰(zhàn)
        共
                1562字,需瀏覽
                    4分鐘
                
         ·
        2021-05-11 14:06
        
                    

                    
                    
                    
                    
        本次滲透實(shí)戰(zhàn)主要知識(shí)點(diǎn):
        1.app抓包,尋找后臺(tái)地址
        2.上傳繞過(guò),上傳shell
        3.回shell地址的分析
        4.中國(guó)蟻劍工具的運(yùn)用



        目錄


        ?0x01 準(zhǔn)備工具
        ?0x02 信息搜集
        ?0x03 滲透過(guò)程
        ?0x04 挖洞方法總結(jié)

        0x01 準(zhǔn)備工具
          此次滲透實(shí)戰(zhàn)主要針對(duì)安卓APP,賭博APP后臺(tái)服務(wù)器在境外,平臺(tái)包含多款非法涉賭小游戲。

        1、雷電安卓模擬器,用于運(yùn)行賭博網(wǎng)站的安裝程序。
        2、抓包工具Fiddler(或burpsuite、 wireshark),用于流量抓包找到網(wǎng)站后臺(tái)服務(wù)器地址。
        3、Sublist3r、中國(guó)蟻劍等常規(guī)滲透工具。
         
        0x02 信息搜集
        1、尋找服務(wù)器地址。流量抓包分析網(wǎng)絡(luò)賭博APP的服務(wù)器地址。利用Fiddler抓取安卓模擬器流量,通過(guò)分析獲取APP后臺(tái)網(wǎng)站地址:http://****.com。抓包也可以用bp或者wireshark工具,網(wǎng)上教程比較多。

        對(duì)抓包發(fā)現(xiàn)的域名“****.com”進(jìn)行查詢,發(fā)現(xiàn)目標(biāo)服務(wù)器IP地址:x.x.x.x,并進(jìn)一步對(duì)服務(wù)器IP在“站長(zhǎng)之家”網(wǎng)站查詢,確認(rèn)服務(wù)器在境外。

        2、獲取子域名。
        用Sublist3r.py 工具搜集域名,
        python Sublist3r.py -d xxx.com -o 1.txt
        發(fā)現(xiàn)一些子域名,測(cè)試未發(fā)現(xiàn)突破口
         
        0x03 滲透過(guò)程
        1、注冊(cè)登錄,發(fā)現(xiàn)HTML5頁(yè)面。App頁(yè)面注冊(cè)登錄,抓取地址,把抓取到地址拿到瀏覽器登錄,發(fā)現(xiàn)APP頁(yè)面是純HTML5頁(yè)面,這就更方便在瀏覽器里操作了。
        2、嘗試前臺(tái)賬號(hào)注入失敗,利用測(cè)試號(hào)碼注冊(cè)然后Bp抓包改包,尋找注入點(diǎn),但注入失敗。
        3、登錄注冊(cè)用戶,發(fā)現(xiàn)上傳漏洞。瀏覽用戶功能,在個(gè)人中心處存在身份審核功能,需上傳身份資料以核驗(yàn)用戶信息,推斷此上傳功能可以隱藏木馬上傳點(diǎn)。
        4、經(jīng)上傳fuzz測(cè)試,后端程序僅對(duì)mime和文件頭內(nèi)容進(jìn)行校驗(yàn)。修改文件類型的繞過(guò)方法,直接上傳圖片馬并修改mime類型,成功上傳得到shell地址。

        5、是利用“中國(guó)蟻劍”成功連接木馬,在服務(wù)器網(wǎng)站源碼里分析找到數(shù)據(jù)庫(kù)配置文件,成功連接數(shù)據(jù)庫(kù)。

        6、使用中國(guó)蟻劍連接數(shù)據(jù)庫(kù)成功,得到賬號(hào)以及密碼的哈希值。
        7、通過(guò)文件目錄結(jié)構(gòu)分析,后臺(tái)為單入口文件,參數(shù)s=admin成功跳轉(zhuǎn)后臺(tái),通過(guò)數(shù)據(jù)庫(kù)解密后臺(tái)賬戶的hash值,成功登陸后臺(tái)。
        通過(guò)獲取管理員后臺(tái)權(quán)限,掌握網(wǎng)站當(dāng)天注冊(cè)用戶數(shù)231戶,發(fā)生賭博單數(shù)86但,資金流水54.2萬(wàn)元。在管理員登陸日志方面,主要登錄ip分布在菲律賓、香港、廣西、越南等地。
        用戶登錄日志記錄,數(shù)據(jù)包含用戶的id、登錄ip、手機(jī)號(hào)、登錄時(shí)間等信息。
        用戶投注記錄,數(shù)據(jù)包含會(huì)員id、投注金額、累計(jì)等級(jí)禮金等。

        0x04 挖洞方法總結(jié)
        1、查找注入,注意數(shù)據(jù)庫(kù)用戶權(quán)限和站庫(kù)是否同服務(wù)器。
        2、查找XSS,目的是進(jìn)入后臺(tái)以進(jìn)一步攻擊。
        3、查找上傳,一些能上傳的頁(yè)面,比如申請(qǐng)友鏈、會(huì)員頭像、和一些敏感頁(yè)面等等,查看驗(yàn)證方式是否能繞過(guò),結(jié)合服務(wù)器的解析特性。
        4、查找下載,在網(wǎng)站的下載欄目,或者文章后面的附件下載鏈接,測(cè)試是否存在未授權(quán)的文件下載。
        5、查找編輯器,比較典型的ewebeditor、fckeditor等
        6、查找可能的后臺(tái)管理程序,可以嘗試弱口令。


        此處提供的所有工具僅供授權(quán)狀態(tài)下使用,如發(fā)生刑事案件,非授權(quán)攻擊行為與本人無(wú)關(guān).望大家熟知《網(wǎng)絡(luò)安全法》.
        未經(jīng)授權(quán),不得轉(zhuǎn)載。

        點(diǎn)分享
        點(diǎn)收藏
        點(diǎn)點(diǎn)贊
        點(diǎn)在看
        
                
        瀏覽
                    107
        點(diǎn)贊
    
        評(píng)論
    
        收藏
    
        分享
        
        手機(jī)掃一掃分享
        分享
    
        
        舉報(bào)
    
        評(píng)論
        圖片
        表情
        推薦
        
        點(diǎn)贊
    
        評(píng)論
    
        收藏
    
        分享
        
        手機(jī)掃一掃分享
        分享
    
        
        舉報(bào)
    
        

          

          3. 

              2. 
91视频久久
|
香蕉性爱视频
|
日本美女被c
|
人人草人人摸人人干
|
正在播放迷姦新婚夜
|