桃子姐姐不为人知的一面之实战撸穿某果聊APP

首页 » Web安全 » 桃子姐姐不为人知的一面之实战撸穿某果聊APP

晴天一声霹雳响,大老李闪亮登场~
在现如今这个社会,毁掉一个人的往往是欲望 。
说到这老夫就想淫诗一首
长夜漫漫难入眠
诈骗团伙朝你来
诈骗手段真高明
直播果聊真开心
社会险恶你不知
倾家荡产才醒悟

获取APP

就在这夜黑风高的夜晚 我突然收到一条消息
桃子姐姐不为人知的一面之实战撸穿某果聊APP
你李身经百战,看到“福利”二字 便觉得不妥,果断抄起模拟器扫码下载了这个app
大概长这个样子
桃子姐姐不为人知的一面之实战撸穿某果聊APP
桃子姐姐不为人知的一面之实战撸穿某果聊APP

抓到URL

抓包看了一眼
大概就是 你输入手机号码和邀请码后 第一次点击没有反应 第二次再点击 会提示重复号码
桃子姐姐不为人知的一面之实战撸穿某果聊APP
拿这个包 跑了一下注入 无果
于是对 www.xxxx.com 进行渗透
在http://www.xxxx.com/admin/common/login.shtml 为后台登录入口 并且有token验证
桃子姐姐不为人知的一面之实战撸穿某果聊APP
手工测试 admin的密码 无果
于是测试其他用户名 会提示用户名不存在
桃子姐姐不为人知的一面之实战撸穿某果聊APP

进入后台

发现存在admin1的用户名 密码为*****
桃子姐姐不为人知的一面之实战撸穿某果聊APP
桃子姐姐不为人知的一面之实战撸穿某果聊APP
进入后台以后的数据量,整个人都不好了…
16000+中招的 1540000+条手机号….
桃子姐姐不为人知的一面之实战撸穿某果聊APP
桃子姐姐不为人知的一面之实战撸穿某果聊APP
桃子姐姐不为人知的一面之实战撸穿某果聊APP

通讯录

桃子姐姐不为人知的一面之实战撸穿某果聊APP
而更可悲的是 该系统从6.21日 便开始运作 到现在不满一个月 便获取了这么多数据
桃子姐姐不为人知的一面之实战撸穿某果聊APP
忍一时越想越气 进都进来了 想办法办了它

Getshell

找到了网站设置,看到有上传扩展名修改,但当前权限不足
桃子姐姐不为人知的一面之实战撸穿某果聊APP桃子姐姐不为人知的一面之实战撸穿某果聊APP

新增超级管理员

桃子姐姐不为人知的一面之实战撸穿某果聊APP
登录到超级管理员liufang03

修改扩展名

修改扩展名后并关闭了日志功能
桃子姐姐不为人知的一面之实战撸穿某果聊APP
但是直接上传php还是不行 于是便用burp改了个包
桃子姐姐不为人知的一面之实战撸穿某果聊APP
桃子姐姐不为人知的一面之实战撸穿某果聊APP

冰蝎

桃子姐姐不为人知的一面之实战撸穿某果聊APP
看目录结构一眼就知道用的是宝塔
桃子姐姐不为人知的一面之实战撸穿某果聊APP
在冰蝎里面执行shell bt 可以控制宝塔
但…..打扰了
桃子姐姐不为人知的一面之实战撸穿某果聊APP

清除日志

为了防止被发现 shell之后我把日志开启了,并连接数据库将自己的登陆日志删除
桃子姐姐不为人知的一面之实战撸穿某果聊APP

溯源

桃子姐姐不为人知的一面之实战撸穿某果聊APP
通过日志没有发现有用的信息
只有几个IP反查 移动基站 没有任何东西
119.xx.xxx.221
119.xx.xxx.105
119.xx.xxx.170
119.xx.xxx9.201
14.xx.xxx3.188
117.xx.xxx.29
106.xx.xxx.9
超管IP是缅甸的
14.xx.xxx.188
whois反查
桃子姐姐不为人知的一面之实战撸穿某果聊APP
查询到131xxxx9171@163.com 163手机邮箱地址
通过邮箱反查
桃子姐姐不为人知的一面之实战撸穿某果聊APP
查到qq邮箱为137xxx207@qq.com
桃子姐姐不为人知的一面之实战撸穿某果聊APP
通过qq查到:
172xxx64
14xxx776
桃子姐姐不为人知的一面之实战撸穿某果聊APP
桃子姐姐不为人知的一面之实战撸穿某果聊APP
通过163的手机号反查到快手 头像内 xx福利导航
xxx.xyz
与该app绑定域名的注册人一致。
桃子姐姐不为人知的一面之实战撸穿某果聊APP
163手机号反查到支付宝地址为 山西临汾
桃子姐姐不为人知的一面之实战撸穿某果聊APP
密码反查到一个qq
76xxxx2
桃子姐姐不为人知的一面之实战撸穿某果聊APP
该qq的地理位置为 云南 玉溪 这与通过后台登录IP的地理位置一致

后记

其实最开始的时候,仅仅是因为无聊,刚好闲着没事,所以想打一下,但是当我打进去以后,看到后台的数量,这让我很震惊  粗略来算 每人至少要拿2000+ 甚至上万
16000×2000=32000000 按最低的来算至少3千万+ 当然这只是6.21-7.15 24天的人数来算。
24天获利3千万+  但是我不是警察,我没办法帮助他们,我也没有去删除里面的数据,因为我希望有一天警察能够找到这群诈骗团伙并加以严惩。
现在只能希望有人民警察来帮助这些受害者了。

免责声明:本站所提供工具、技术文章,仅供技术学习交流、请勿用于非法行为,请遵守相关法律规定,否则后果自负。作者:administrator, 转载或复制请以 超链接形式 并注明出处 大老李的Blog|渗透测试论坛|红蓝对抗|大型Web安全问答社区
原文地址:《桃子姐姐不为人知的一面之实战撸穿某果聊APP》 发布于2020-07-16

分享到:
赞(2) 打赏 生成海报

评论 1

评论前必须登录!

  注册

  1. #1

    沙发期待后续

    ahui7772周前 (07-28)

长按图片转发给朋友

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

关于渗透测试入门到进阶教学
后期的系列课程、问答以及工具、思路分享将会在星球发布
切换注册

登录

忘记密码 ?

切换登录

注册