0x00 楔子


近日,小明有了一桩烦心事,扰的他寝食难安。原来是女神的某安卓手机出了怪病,短信收不到,发出去别人也收不到,更可气的是女神用来准备网购的钱都被神秘刷走。当女神满心焦躁翻遍通讯录时,蓦然发现了小明的备注:千斤顶17号-电脑、刷机。于是在女神可怜巴巴大眼睛的注视下,小明把胸脯拍的山响,承诺一天搞定。

于是,小明拿到了梦寐以求的女神手机。可没想到,后面发生的事让他始料未及。

0x01 锁定元凶


拿到手机的第一件事,就是找到收不到短信的原因。翻了翻系统短信设置和APP,装的东西都很正常,没有发现可疑的空白图标,用软件管理工具查看,也没有发现可疑的迹象。于是小明从系统程序开始排查,果不然,在打开“谷歌商店”时,发现了狐狸尾巴。

如下图所示,第一,在未联网时点击这种APP会提示“手机无法联网”。

enter image description hereenter image description here

第二,在联网时点击这种APP会提示一大堆权限要求和出现“网络正常”提示

enter image description here

看到这,小明笑了,这不就是最正火的短信拦截马嘛。于是果断把手机通过豌豆荚导出目标APK文件包。如图所示

enter image description here

enter image description here

看着桌面上不到100KB的短信马,小明默默的系上了围裙(安卓虚拟环境),找出了手术刀(反编译工具dex2jar+Xjad),把马儿按到在解剖台(Eclipse)上。

enter image description here

0x02 庖丁解牛


首先,小明把APK文件解压,然后找到关键的classes.dex文件。他是APK文件的java源码编译文件。

enter image description here

然后把classes.dex 拷贝到dex2jar目录下,然后cmd进入dex2jar目录后再输入:dex2jar.bat classes.dex 回车,同目录下就得到我们想要的源码包:classes_dex2jar.jar

enter image description here

enter image description here

再请出我们的jar反编译Xjad,点击文件-反编译jar-选择上把生成的jar文件,就会反编译成源码文件夹。

enter image description here

enter image description here

到这一步,我们的牛算是初步分解成功了,下面就是如何找出我们要的菲力牛排~

0x03 轻抚菊花


反编译后分析出木马和后台交互是通过调用c#的WebService协议,而且菊花的IP是加密的,调用代码图如下: 

enter image description here

直接把加密代码,按图索骥找到加密函数后,反编译过来发现如下:

enter image description here

运行后,直接爆到服务器端的地址http://103.X.X.X/priv1/baseservice.asmx

至此,找准了菊花的所在。下面开始研究爆菊啦

0x04 长驱注入( 爆菊部分由sql test大牛完成)


既然找到后台地址了,下面怎么来拿下这后台,这是头疼的问题,用工具扫描了下没发现什么漏洞,本人能力有限。看