068-探秘短信马产业链-从逆向到爆菊-棉花糖会员站

# 探秘短信马产业链-从逆向到爆菊

0x00 楔子
——-

* * *

近日，小明有了一桩烦心事，扰的他寝食难安。原来是女神的某安卓手机出了怪病，短信收不到，发出去别人也收不到，更可气的是女神用来准备网购的钱都被神秘刷走。当女神满心焦躁翻遍通讯录时，蓦然发现了小明的备注：千斤顶17号-电脑、刷机。于是在女神可怜巴巴大眼睛的注视下，小明把胸脯拍的山响，承诺一天搞定。

于是，小明拿到了梦寐以求的女神手机。可没想到，后面发生的事让他始料未及。

0x01 锁定元凶
———

* * *

拿到手机的第一件事，就是找到收不到短信的原因。翻了翻系统短信设置和APP，装的东西都很正常，没有发现可疑的空白图标，用软件管理工具查看，也没有发现可疑的迹象。于是小明从系统程序开始排查，果不然，在打开“谷歌商店”时，发现了狐狸尾巴。

如下图所示，第一，在未联网时点击这种APP会提示“手机无法联网”。

![enter image description here](http://drops.javaweb.org/uploads/images/018d6963c928077a554b116172eda018fd2d2f8a.jpg)![enter image description here](http://drops.javaweb.org/uploads/images/05df3a4a92297a95026b8d78f6b3259e6478604b.jpg)

第二，在联网时点击这种APP会提示一大堆权限要求和出现“网络正常”提示

![enter image description here](http://drops.javaweb.org/uploads/images/a8c5c5f821457990d6918ff8bf2381bdcd8dfcc5.jpg)

看到这，小明笑了，这不就是最正火的短信拦截马嘛。于是果断把手机通过豌豆荚导出目标APK文件包。如图所示

![enter image description here](http://drops.javaweb.org/uploads/images/a21f7bc76524a6321bdd9858a6b27b07a738a1b7.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/6a24fd25dedb5ecb484a54c0c9b1ffaf842a6d76.jpg)

看着桌面上不到100KB的短信马，小明默默的系上了围裙（安卓虚拟环境），找出了手术刀（反编译工具dex2jar+Xjad），把马儿按到在解剖台（Eclipse）上。

![enter image description here](http://drops.javaweb.org/uploads/images/8b4f24b47275c2bd75d3a324683445591dd27118.jpg)

0x02 庖丁解牛
———

* * *

首先，小明把APK文件解压，然后找到关键的classes.dex文件。他是APK文件的java源码编译文件。

![enter image description here](http://drops.javaweb.org/uploads/images/7a222ad9d30456f3d3ceb82545b057cf46d7e4bf.jpg)

然后把classes.dex 拷贝到dex2jar目录下,然后cmd进入dex2jar目录后再输入：dex2jar.bat classes.dex 回车,同目录下就得到我们想要的源码包：classes_dex2jar.jar

![enter image description here](http://drops.javaweb.org/uploads/images/a24b58ca3610d23ef5268fa49eb32ef472c22c35.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/6f2f907f0a78b76b2a1464a444ff449a0c56a636.jpg)

再请出我们的jar反编译Xjad，点击文件-反编译jar-选择上把生成的jar文件，就会反编译成源码文件夹。

![enter image description here](http://drops.javaweb.org/uploads/images/571f69fcda4f7cb743db0c858be732999d6e3f40.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/cdb05278492258bf2de20de6a2d909cb4f6f9ed2.jpg)

到这一步，我们的牛算是初步分解成功了，下面就是如何找出我们要的菲力牛排~

0x03 轻抚菊花
———

* * *

反编译后分析出木马和后台交互是通过调用c#的WebService协议，而且菊花的IP是加密的，调用代码图如下:

![enter image description here](http://drops.javaweb.org/uploads/images/279720c5ccdd903c4828c3d7a22cfb459bc85d45.jpg)

直接把加密代码，按图索骥找到加密函数后，反编译过来发现如下：

![enter image description here](http://drops.javaweb.org/uploads/images/8674614dc193d4ff006e0c8beee992f578510eb2.jpg)

运行后，直接爆到服务器端的地址http://103.X.X.X/priv1/baseservice.asmx

至此，找准了菊花的所在。下面开始研究爆菊啦

0x04 长驱注入（爆菊部分由sql test大牛完成）
—————————–

* * *

既然找到后台地址了,下面怎么来拿下这后台，这是头疼的问题，用工具扫描了下没发现什么漏洞，本人能力有限。看样子只能从站点下手了，重新整理下思路，把http://103.X.X.X/priv1/baseservice.asmx输入到浏览器发现

![enter image description here](http://drops.javaweb.org/uploads/images/b00f85794e776661608161bd83189a487047676a.jpg)

有这么几个方法，既然有方法可以我直接用下，打开程序引用了WebService 代码如下：

![enter image description here](http://drops.javaweb.org/uploads/images/24b78582ed232e1fe641f8e32fba8699d36278c6.jpg)

本来想试试XSS ,用AddCall方法插入到数据库，代码如下

![enter image description here](http://drops.javaweb.org/uploads/images/b7c96930db44a147785085802feab7af77319d86.jpg)

调用了下发现报错

![enter image description here](http://drops.javaweb.org/uploads/images/877c2fa1931d001cea4ad6a0e4da11f52bb39039.jpg)

无语了，既然有SQL 注入，下面我们来说下这WebService SQL 注入。

挑选了一个获取方法getOrders ,调用的时候把参数加了一个单引号提示MYSQL错误，这注入点也太多了吧

以下就改造了查询语句

![enter image description here](http://drops.javaweb.org/uploads/images/3678055a5ead5ab4b5b8aff18e2734f899269749.jpg)

返回了XML：

“`
9321

“`

这个一看就知道了，下面的步骤就不详细写，是root注入。

写入一句话，目标是IIS，我也没找到目录程序目录，直接试了C:Inetpubwwwroot 写了一个Aspx马上去了，在浏览器上访问成功了。

![enter image description here](http://drops.javaweb.org/uploads/images/ee1b64278842b44a2867b323d40d9b11f78591b9.jpg)

基本上完成了，剩下的就是提权了，在一个朋友的帮助下提权成功。

0x05 扩大战果
———

* * *

这时已经通过mysql拿到了服务器的权限，查看注册表发现端口是55555，服务器版本为2003R2，加了个用户就进去看看。

![enter image description here](http://drops.javaweb.org/uploads/images/e62eac7455d0747fda8bc0a21d0e174edd505276.jpg)

东西不复杂，IIS+mysql+C#的WebService

![enter image description here](http://drops.javaweb.org/uploads/images/f37bb3e99b80b483475a570f5746c682a55ed59a.jpg)

把mysql做了个远程，本地连上看看。一看之下，这个团伙通过短信马监控到被害者的内容令小明大吃一惊。

![enter image description here](http://drops.javaweb.org/uploads/images/1e97ce15777164a88a7e74f80f41bbc0d7fb9f3b.jpg)

在SO这个库里，小明发现N多受害人的信息，包括大额的银行转账提示。如果这种短信被拦截的话，那后果可想而知。

![enter image description here](http://drops.javaweb.org/uploads/images/47fc6e17f675579b0b29621d881744ea7cd1275a.jpg)

0x06 挖掘产业链
———-

* * *

但凡一个行业必须是有利可图的，小明既然发掘到了源头，就逆流而上，去深挖一下，安卓短信拦截马的整个产业链条。

说干就干，小明在电脑上输入短信拦截马、短信马出售等相关关键词，发现有很多人在发布相关的需求。

![enter image description here](http://drops.javaweb.org/uploads/images/b695215ee446dfa37e766123f0de558bf22bc4e8.jpg)

而是各种地下论坛里，很多相关求马的帖子。

他们买来主要就是为了诈骗。

或冒充熟人诈骗，或为了诱骗网银，或为了某些不可告人的秘密勾当。

随机找了个例子。

![enter image description here](http://drops.javaweb.org/uploads/images/ee66a8282980848bfcf27e0570c20b198e3d12e6.jpg)

小明通过对代码的分析，发现短信马的运行方式是这样的。

一旦安装了木马的手机，并授权给木马后，木马会立刻上传受害手机的通讯录。该手机的所有短信来往都会发给指定的手机号，而且该手机号可以使用代码，来指挥木马进行伪造短信。从而实施诈骗的目的

![enter image description here](http://drops.javaweb.org/uploads/images/4309f81a4abce7a4da4c5c7223221e62e38857d4.jpg)

![enter image description here](http://drops.javaweb.org/uploads/images/4d1e25720d9ee7fc3edef0acfae1c13404c7225f.jpg)

文章版权归作者所有，未经允许请勿转载。

THE END

漏洞库

068-探秘短信马产业链-从逆向到爆菊

请登录后发表评论

1泛微OA E-Cology sync接口反序列化命令执行

2致远OA checkComponentFile后台反序列化任意命令执行

3时空智友ERP sqlResult存在SQL注入

4西安九佳易信息资讯有限公司时尚企业管理系统UpdatePrivilegedState code参数存在SQL注入

5华天动力OA存在多个SQL注入

6网络安全攻防演练与实践分享培训课件.pptx