扒了手机监控木马后台!

李志宽
• 阅读 1221

0x00 楔子

近日,小明有了一桩烦心事,扰的他寝食难安。原来是女神的某安卓手机出了怪病,短信收不到,发出去别人也收不到,更可气的是女神用来准备网购的钱都被神秘刷走。

当女神满心焦躁翻遍通讯录时,蓦然发现了小明的备注:千斤顶17号-电脑、刷机。于是在女神可怜巴巴大眼睛的注视下,小明把胸脯拍的山响,承诺一天搞定。

于是,小明拿到了梦寐以求的女神手机。可没想到,后面发生的事让他始料未及。

0x01 锁定元凶

拿到手机的第一件事,就是找到收不到短信的原因。翻了翻系统短信设置和APP,装的东西都很正常,没有发现可疑的空白图标,用软件管理工具查看,也没有发现可疑的迹象。

于是小明从系统程序开始排查,果不然,在打开“谷歌商店”时,发现了狐狸尾巴。

如下图所示,第一,在未联网时点击这种APP会提示“手机无法联网”。

扒了手机监控木马后台! 第二,在联网时点击这种APP会提示一大堆权限要求和出现“网络正常”提示

扒了手机监控木马后台! 看到这,小明笑了,这不就是最正火的短信拦截马嘛。于是果断把手机通过豌豆荚导出目标APK文件包。如图所示 扒了手机监控木马后台! 扒了手机监控木马后台! 看着桌面上不到100KB的短信马,小明默默的系上了围裙(安卓虚拟环境),找出了手术刀(反编译工具dex2jar+Xjad),把马儿按到在解剖台(Eclipse)上。

扒了手机监控木马后台!

0x02 庖丁解牛

首先,小明把APK文件解压,然后找到关键的classes.dex文件。他是APK文件的java源码编译文件。

扒了手机监控木马后台! 然后把classes.dex 拷贝到dex2jar目录下,然后cmd进入dex2jar目录后再输入:dex2jar.bat classes.dex 回车,同目录下就得到我们想要的源码包:classes_dex2jar.jar

扒了手机监控木马后台! 扒了手机监控木马后台! 再请出我们的jar反编译Xjad,点击文件-反编译jar-选择上把生成的jar文件,就会反编译成源码文件夹。 扒了手机监控木马后台! 扒了手机监控木马后台! 到这一步,我们的牛算是初步分解成功了,下面就是如何找出我们要的菲力牛排~

0x03 轻抚菊花

反编译后分析出木马和后台交互是通过调用C#的WebService协议,而且菊花的IP是加密的,调用代码图如下:

扒了手机监控木马后台! 直接把加密代码,按图索骥找到加密函数后,反编译过来发现如下:

扒了手机监控木马后台! 运行后,直接爆到服务器端的地址:

http://103.X.X.X/priv1/baseservice.asmx

至此,找准了菊花的所在。下面开始研究爆菊啦

0x04 长驱注入(爆菊部分由sql test大牛完成)

既然找到后台地址了,下面怎么来拿下这后台,这是头疼的问题,用工具扫描了下没发现什么漏洞,本人能力有限。看样子只能从站点下手了,重新整理下思路,把http://103.X.X.X/priv1/baseservice.asmx输入到浏览器发现

扒了手机监控木马后台! 有这么几个方法,既然有方法可以我直接用下,打开程序引用了WebService 代码如下:

扒了手机监控木马后台! 本来想试试XSS ,用AddCall方法插入到数据库,代码如下 扒了手机监控木马后台! 调用了下发现报错扒了手机监控木马后台! 无语了,既然有SQL 注入,下面我们来说下这WebService SQL 注入。

挑选了一个获取方法getOrders ,调用的时候把参数加了一个单引号提示MYSQL错误,这注入点也太多了吧

以下就改造了查询语句 扒了手机监控木马后台! 返回了XML:

<?xml version="1.0" encoding="UTF-8"?>
<RootJob>
  <Job>
    <Type>9</Type>
    <Content>3</Content>
    <Phone>2</Phone>
    <JobID>1</JobID>
  </Job>
</RootJob>

这个一看就知道了,下面的步骤就不详细写,是root注入。

写入一句话,目标是IIS,我也没找到目录程序目录,直接试了C:\Inetpub\www\root写了一个Aspx马上去了,在浏览器上访问成功了。 扒了手机监控木马后台! 基本上完成了,剩下的就是提权了,在一个朋友的帮助下提权成功。

0x05 扩大战果

这时已经通过mysql拿到了服务器的权限,查看注册表发现端口是55555,服务器版本为2003R2,加了个用户就进去看看。 扒了手机监控木马后台! 东西不复杂,IIS+mysql+C#的WebService 扒了手机监控木马后台! 把mysql做了个远程,本地连上看看。一看之下,这个团伙通过短信马监控到被害者的内容令小明大吃一惊。 扒了手机监控木马后台! 在SO这个库里,小明发现N多受害人的信息,包括大额的银行转账提示。如果这种短信被拦截的话,那后果可想而知。 扒了手机监控木马后台!

0x06 挖掘产业链

但凡一个行业必须是有利可图的,小明既然发掘到了源头,就逆流而上,去深挖一下,安卓短信拦截马的整个产业链条。

说干就干,小明在电脑上输入短信拦截马、短信马 出售等相关关键词,发现有很多人在发布相关的需求。 扒了手机监控木马后台! 而是各种地下论坛里,很多相关求马的帖子。

他们买来主要就是为了诈骗。

或冒充熟人诈骗,或为了诱骗网银,或为了某些不可告人的秘密勾当。

随机找了个例子。

扒了手机监控木马后台! 小明通过对代码的分析,发现短信马的运行方式是这样的。

一旦安装了木马的手机,并授权给木马后,木马会立刻上传受害手机的通讯录。该手机的所有短信来往都会发给指定的手机号,而且该手机号可以使用代码,来指挥木马进行伪造短信,从而实施诈骗的目的。

扒了手机监控木马后台! 来路不明的APP,不要乱安装啊!

点赞
收藏
评论区
推荐文章
Wesley13 Wesley13
3年前
SSH 隧道实现内网穿透
家里买了台NETGEAR路由器刷了梅林固件,可以在USB接口上挂个存储当NAS用,发现家里的移动宽带是没有公网ip的,于是在外网访问不到内网,ddns也没法用了(不要给我推荐花生壳内网版😝)。那么,需求就是如何让外网访问到内网ip。于是想到了从内网到公网上的某台机器建立一条ssh隧道,通过访问公网机器把数据穿透到内网,实现方法:在内
菜园前端 菜园前端
1年前
考考你CSS的选择器权重
原文链接:选择器权重选择器权重划分代表有多个选择器同时选中同一个元素时,应该以谁的为准,这里就会涉及到权重的问题。现实生活举例假设你的好朋友小明和路人小红同时掉水里,你先救谁?那你可能会先救小明,因为小明的优先级/权重比较高。基础案例在同一层级下同一层级代
Python进阶者 Python进阶者
2年前
一篇文章带你轻松获取女神家庭住址
前言步入21世纪,我们的日常生活发生了巨大的改变,手机和电脑支配着我们的日常,不知不觉中,网聊开始慢慢逐渐兴起以致于现在成为大势所趋,我们在网上聊天经常会看到一些美女,但是我们一般问别人家庭住址的话肯定是不合适的,因为这会让别人觉得你这个人是不是有病,或者是犯罪分子;于是我们可以另辟蹊径,选择一种稳妥的方式来进行。一、与女神开始对话这是你要进行的第一步,如
Stella981 Stella981
3年前
List的Select 和Select().tolist()
List<PersondelpnewList<Person{newPerson{Id1,Name"小明1",Age11,Sign0},newPerson{Id2,Name"小明2",Age12,
Wesley13 Wesley13
3年前
Oracle报错ORA
【案例】Oracle报错ORA16433非归档丢失redo无法启动的恢复过程转惜纷飞今天ML的群中女神和travel在纠结一个恢复的问题,11.2.0.3版本,非归档,大概是rm掉current的log,然后重建controlfille后恢复导致一系列问题,并
Stella981 Stella981
3年前
OSChina 周二乱弹 ——你要嫁给老板的话,千万不能有妹妹
@爱啪客(http://my.oschina.net/ipaler):失业了,没力气发动弹了...这么严重的事件,让女神来安慰安慰你。男神柳岩手机党少年们想听歌,请使劲儿戳(这里(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Fwww.xiami.com%2Fal
Wesley13 Wesley13
3年前
#真女神转生3#PS2模拟器下开老金
!输入图片说明(https://static.oschina.net/uploads/img/201709/10132716_VRVd.jpg"笨女孩")最近想玩玩PS2的真女神转生3Nocturne美版,虽然跑地图不怎么卡了,但是切换到战斗的时候还是会卡,i76700HQPCSX21.4。但是真女神转生系列就从来没容易过,3DS上的两作至
Stella981 Stella981
3年前
CSDN头版头条 《近匠》 Wijmo 5 CTO:从Web到移动,我的25年编程生涯
现年52岁的BernardoCastilho先生是GrapeCity(中文名为葡萄城)ComponentOne公司的CTO,在与他的对话过程中,充满风趣严谨和厚重的历史感。!(http://static.oschina.net/uploads/img/201410/22115708_VRe4.png)当作为年轻人的我们崇拜着各式娱乐男神女神时,
Stella981 Stella981
3年前
DevOps背景下的分合之事
DevOps倡导“谁开发,谁运维”和开发运维一体化。那么是不是简单地把开发和运维人员放在一起就完事了呢?01—“插队”的故事小明入职时是运维专员,原来隶属于运维部门,负责某业务线系统的应用维护工作。一旦系统的生产环境出现任何故障,或者业务人员在生产环境上有任何请求,都是由小明所在的运维部门先处理,处理不了的,再联系该系
Wesley13 Wesley13
3年前
CCF考试——201712
概要问题描述  小明和小芳出去乡村玩,小明负责开车,小芳来导航。  小芳将可能的道路分为大道和小道。大道比较好走,每走1公里小明会增加1的疲劳度。小道不好走,如果连续走小道,小明的疲劳值会快速增加,连续走s公里小明会增加s2的疲劳度。  例如:有5个路口,1号路口到2号路口为小道,2号路口到3号路口为小道,3号路口到4号路口为大道,
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43