中秋节马上来临了,有点事提前回了老家。邻居在一个任务网赚平台做了一个多月,赚了七百多块钱,提现快一个月了一直没到账,联系客服也没有人搭理,她打开app让黑灰经看是什么情况。这是一个名为某盟的app,是一个打着区块链名义的平台。用户可以在上面刷视频广告,做一些任务赚钱。在应用商城上找不到它,只能从网上下载。回了公司便针对这个app进行测试,想看看是怎么回事。
在模拟器上装了android 系统,并通过 wireshark 抓包进行流量分析,发现有几个接口,但检测后没有发现有实质性的东西。
如果仅仅是手机验证码登录,找不到问题。但这个app还对接上了qq和微信的登录功能。使用qq或者微信授权登录,这里存在一个问题。就是用户登录后,app会将用户信息上传到服务器读取,这一过程是通过public目录下的httpsusers.aspx接口来完成。利用这个接口配合web.config上传文件显示失败,被系统拦截。通过寻找原因发现服务器是不能支持aspx。web.config是一个xml文本文件,它用来储存asp.netweb。只好将asdx解析为asp。解析后上传但还是被拦截,测试了好几次还是行不通,只好再写一个cmd脚本,最终绕过安全狗的拦截。
由于这个平台的服务器不支持aspx,直接利用aspx执行shell,上传数据库的操作命令读取web.config配置信息也不行,还需将其后缀改成aspx才能获取system的权限。
system有很高的权限,一旦获取进入后台就轻松了。用 nmap 对IP 地址进行全端口扫描,发现其数据库是默认的3306端口,结合system权限并且通过8080端口能访问到其日志,提取出后台登录密码及账号。登录后台,申请提现的数据3页面半,有几十人,提现显示都是在审核中。
通过看后台的代码才知道,他们在代码中嵌入了某粒等正规的平台广告链接进行封装,让别人在他们的app上面刷对接的广告,当然获利的是他们,估计这是他们的获利方式吧。做任务的人数虽不多,黑灰经怀疑这个平台应该没多久就会编译重新搞,他们会割完这一批韭菜接着割下一批。黑灰行业的手段各种各样,像这种平台估计也烧了点钱,除非它的源码已经公开,可以二开。这两年的各种网赚台子出现不少,大家需要谨慎,否则一不小心会踩到雷。