一次服务商广告检测到控制某APP

本人在学校使用移动宽带,这段时间在上网时老弹出广告,有的时候优酷会因为广告导致页面变成一半大小。某日在网上看文章时广告又弹出来了:9 H. }9 u8 m& ?+ e6 X& _. s

1

– 专注网络安全+ }8 t% l  c% \% Z1 {+ L  F, ^
直接访问广告地址发现直接列目录了:www.t00ls.net* o* M* E” ~3 I5 L; M
XXX.XXX.XXX.XXX/AD

2

PHP文件又没法下载,其他东西没发现什么有用的信息。最后发挥了下想象力,管理员会不会压缩备份?于是乎在URL上加AD.压缩格式。
XXX.XXX.XXX.XXX/AD.zip – 低调求发展. w: w. p# Z: \. ~  p; ~
XXX.XXX.XXX.XXX/AD.rar
XXX.XXX.XXX.XXX/AD.7z
XXX.XXX.XXX.XXX/AD.tar
…..
然后还真下载到了备份文件: – 专注网络安全2 Y+ Q. I  I’ x1 y9 q2 [” r

3

把PHP文件翻了一边发现了.svn文件夹,和一个神奇的文件:T00ls.Net – 低调求发展 – 技术无止境 – Focus On Network Security2 V# K& f+ G* O/ H’ t) P/ i( d

4

( x- z7 t- P, y6 \8 e. \
之后通过C段发现了几台一样的服务器,使用同样的方法拿下。是有人来过了,还是这管理员喜欢用菜刀管理网站?T00ls.Net – 低调求发展 – 技术无止境 – Focus On Network Security8 q3 g, H- \* F6 n9 }# J
然后把文件都翻了一般,发现没有什么后台可以使用,配置文件里的数据库地址都ping不通。这些服务器似乎只是用来存放广告素材。
回过头看SVN里的信息: – 专注网络安全1 z6 ~% o/ ~’ J+ _+ W* q$ J5 s8 f5 Q

5

T00LS. i1 T* Z, l4 q- P* P/ C0 V
发现一个陌生的IP,以及一个人名拼音。
用nmap扫了下这个IP:T00ls.Net – 低调求发展 – 技术无止境 – Focus On Network Security* f( @( E” j, ~$ N, M  s& D

6

T00ls.Net – 低调求发展 – 技术无止境 – Focus On Network Security4 Y7 e/ }& b: w9 @& y0 H
访问端口,看到了这些登陆地址:T00ls.Net – 低调求发展 – 技术无止境 – Focus On Network Security  u9 r: s3 d1 W, w$ q

7

 

8

 

9

– 专注网络安全! k! R” \, e” O0 q0 `” [

10

这个服务器有搭建SVN服务,于是乎用收集到的那个人名拼音尝试同步SVN,成功了。

11

再翻文件,找到数据库信息:. F8 s3 b+ Q/ T: }: W

12

T00LS* V& n) j5 ?. T& ]! h( d3 t- w
之前扫了端口,并且发现了phpMyAdmin。登陆之

13

然后就是翻用户解密,不一一叙述了。
先是投放广告的后台: – 专注网络安全0 l; X  o% V* T# ~0 x0 X

14

有很多局点,不单单是移动,但量并不多。
后面就是一个APP的后台,管理员有点机智:P。( S0 t% R4 b+ @9 H7 G” S& V* w
无论我怎么换账号,密码输入对或错。只要我输入了验证码就会这样:T00ls.Net – 低调求发展 – 技术无止境 – Focus On Network Security  V8 l: m! G’ ^: Y, B0 u

15

这里Chrome救了我一下,因为输入的太快。顺便就点了一下Chrome弹出的记住密码。
当我坐在那纳闷的时候,随便点了下登陆。此时Chrome记住了密码,我也没输入验证码。然后就神奇的进了后台。。。。

16

– 低调求发展1 N. u# e& j; N
简单试了几个上传点,最后在“表情管理”停住了,它可以上传ZIP文件,并且还有一个功能:

17

于是乎,我把一句话打包,上传,解压。通过“插入图片”,选择图片时找到路径,成功拿下Shell。

18

( U4 F’ v+ r# R4 ^

19

最后改了下APP数据库3 {0 L8 l5 I3 f

20

完。

[via@xflxfl]