<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("当骗子,遇上,谦虚,大牛,结果是") PageTitle=stripHTML("当骗子遇上谦虚的大牛,结果是?") ArticleIntro=stripHTML("谦虚的大牛不是吃素的,心血来潮,决定来个追本溯源,以下便是谦虚大牛的分析过程。") Articlecontent=stripHTML("             3月8日对女性来说是个美好的节日,公司(安络科技)完美的福利让女同胞们早早的就去享受这美好的假期了,然而,公司一位谦虚的大牛却在这一天…") ModuleName = stripHTML("exploits") InfoID = stripHTML("225089") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> 当骗子遇上谦虚的大牛,结果是? - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> 网站漏洞 >> 正文

[图文]当骗子遇上谦虚的大牛,结果是?

2016/3/12 作者:安络科技 来源: 360安全播报
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

     

      3月8日对女性来说是个美好的节日,公司(安络科技)完美的福利让女同胞们早早的就去享受这美好的假期了,然而,公司一位谦虚的大牛却在这一天“险遭不测”,收到了伪基站发送过来的短信。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092807847.png

      经过一番检测,发现网站其实就是个10086积分的假冒网站,老套路了,这里就不再赘述。不过捕获到一个新修改过的Android短信拦截木马。之前的拦截马基本都是没经过加密帐号密码的源码,很轻易的就发现了收信的邮箱、密码等。如下图:

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092810904.png

  很明显,旧版本的时候木马作者喜欢使用163的手机邮箱作为收发信箱使用。Web貌似还无法进行登录,只能客户端进行收发。

  下面再看看新修改过的木马

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811892.png

  如上图,这个apk应该是3月7日放到网站上的,有可能不是很准,但根据网站的情况,基本上应该不会差太多。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811516.png

  从代码的结构来看,跟上一个apk拦截马的基本相差不会太大,可见是同一团伙,或来自同一上层人员。或许是之前的拦截马被发现的次数较多了,WooYun网站上也有很多案例,基本上都属于同一类的APK。但是看现在这个,明显将邮箱信息和手机号码给加密了。

  根据加密后的字符串来看,我们大致可以看出可能是通过DES加密的(这类基本上都是对称加密方式,加密方式应该也是存在代码中的),只要找到该加密类和Key就基本可以解开加密字符串了。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811615.png

  但是混淆过的代码看上去就让人无语了,小菜我不懂java,一开始还一个个函数去看,发现DES加密解密类中有个“123456”,开始窃喜,以为找到Key了,后面一番尝试,这个Key根本就无法把加密的字符串还原,所以只好继续找其他方式去解这个东西了。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811692.png

  接着又重新回到这个包含邮箱帐号密码的关键类,看是否有其他突破口。此时看到这个类中的方法中,关键的键值对会通过android的SharedPreferences写配置文件。看来该木马会将收信手机、收发邮箱帐号、帐号密码等信息写入到配置文件中。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092811776.png

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812312.png

  安装这个apk之后果然在/data/data/tanglang.yushiting.cloud(apk包名)/shared_prefs/configurations_data发现存在明文的手机号码、邮箱帐号密码等数据。

  友情提示:千万不要轻易的将未知apk安装在root过的手机上,即便安装了也请谨慎给予权限,毕竟无法保证对未知的程序进行彻底的卸载。

  发现这些要花太多时间,而且安装这种apk还不安全。同时我也是个强迫症患者,不解出这些字符串就睡不着,所以还是想着用什么方法可以直接解出明文来。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812855.png

  祭出神器JEB,该工具可以进行跟踪分析,我也是第一次使用这个工具,折腾了好久才会下面的方法……

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812286.png

  查看smail语言,查找交叉引用,找出哪些Class调用了本DES类。发现只有一个类曾调用了这个DES类,这样基本确定了那个类中可能存在跟Key相关的信息了,且可能就在上下文中。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812879.png

  接着我们跳转到这个类,所谓没有对象就要new一个出来(o(∩_∩)o ),我们基本可以确定就是这里了,因为只有这里有个传参的字符串。接着我们就要通过这个可以来算密文解密后的明文了。

  本人不懂Java,只好随便写了个解密类,效果如下图:

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812501.png

  接下来需要获取邮箱服务器信息,不知是不是163的邮箱需要实名的缘故,发现该apk使用的是腾讯企业邮?邮箱服务器信息如下图:

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812760.png

  最后便是验证,能利用上面的信息成功登录邮箱才叫成果。下图显示的这两条是我伪造的短信内容^_^。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812934.png

  为了以后方便,专门编译了一个jar,以后直接输入加密字符串就可以解密了。

      http://www.77169.com/exploits/UploadFiles_7195/201603/20160312092812208.png

  最后还是那就话,尽量别下载未知的软件,就算下载了也别轻易的安装,即使安装了,也不要任意的给权限。

  分析的比较粗糙,若有不对的地方或有更好的分析思路,烦请圈子里的大牛指正,谢谢!



  • 上一篇漏洞:

  • 下一篇漏洞: 没有了
  • 漏洞栏目相关内容

      没有相关漏洞