文章总结： 本文记录了对某色情APP的渗透过程。作者利用Jeecg-Boot弱口令进入后台获取45万+用户敏感信息，并通过前端泄露的阿里云OSS凭证读取备份文件。进而获取关联WordPress站点的数据库权限，修改管理员密码控制后台。尽管未成功提权拿Shell，但暴露了严重的配置缺陷与数据安全风险。 综合评分： 83 文章分类： 渗透测试,WEB安全,实战经验,云安全,数据泄露

---

记一次色情APP的渗透过程【绿色健康】

原创

A2cai A2cai

隐雾安全

2023年1月12日 11:34 四川

开端

故事的开始，发生在某个天气晴朗的中午

有个群友的朋友在使用某 APP 满足完生理需求后

闲的没事，开了个 Charles 抓到个域名

然后发了上群

出于好奇，我决定去看看

这类色情产业是怎么运作？如何获取利益？

资源有哪些我没看过的？用户量又有多大呢？

弱口令 yyds

经过初步的了解

发现这个站是使用 Jeecg-Boot 搭的

找到默认后台路径 /user/login 后

弱口令就直接进去了

好家伙，搞这些东西这么赚钱的嘛

而且看着还挺多用户的

咦，发现了个有趣的东东

可以看到…

大家普遍地喜欢在中午和晚上休息的时候

看些有利缓解心理压力的视频呀~

又稍稍翻了一下

发现这个色情 APP 主要是通过广告来赚钱的

这还只是其中一个

像这样的分站还有 38 个…

emmmm，兄弟我知道你在想什么

呔！

哈哈哈哈哈哈不闹了

继续看看有啥好玩的

这站它是搞真的呀

里面资源确实不少，更新得还很勤的样子

稍稍点开了几个，都是比较眼熟的链接

PS：不打码怕过不了审…

哈哈哈哈还有些 APP 用户的意见反馈

大多都是资源链接过期和吐槽广告多的

看上去感觉怪真实的

是感觉哈，我没下过这种 APP 的哈

我猜的哈，别多想~

后面还翻到个用户管理

里面有注册这个 APP 的所有用户的手机号和 IP

还有一些是微信登陆的，也有他们相应的头像和昵称

哈哈哈哈哈哈偷偷看黄片？

一个都跑不掉

而且数据量还不少，有 45w+

继续探索~

发现些他们用来引流的小程序

前端有这些小程序的 appId 和 secret

我去翻了一下微信的小程序调试工具

通过 appId 和 secret 后拿到小程序的 access_token

通过 access_token 我好像就只能调几个简单的接口？

咱也不懂，也不敢搞

相信看到这儿大家可能会有个疑问

你都进后台了为啥不尝试拿 shell 呀？

…

实话说，我太菜了没拿下来

大多上传点我都试过了

要不是接口失效，就是传到阿里的云存储上去

诶….云存储？

F12 大法找了一下

发现了裸露的 accessKeyId 和 accessKeySecret

使用 OSS Browser 来尝试连接

成功啦~

但只有这样是不够的

有了 accessKeyId 和 accessKeySecret 的话

好像是可以尝试接管云主机然后定时任务拿 shell 的

尝试了下，不行…

好像这个 Id 和 Secret 没有绑定云主机？

我对云安全这块也不咋懂

只能就此作罢了

不过后来我在翻它 OSS 的 Bucket 的时候

发现了这个东西

PS：可恶，目录名竟然是 . ？我差点就忽略掉它了

根据这个 bucket 的名称

我找到了这个网站

看上去又是个福利站啊

因为是 WordPress 的站，我直接访问 /wp-admin/

尝试登陆下看能不能进去

结果就没那么简单了

而且 WordPress 还是最新的 6.1.1

怎么办捏？

很简单，网站的备份文件都在 bucket 里

我直接去翻数据库配置文件就好咯

找到你了

于是就连进去啦

我第一反应

是想用 SQL 创建个管理员用户进后台

于是百度了下 WordPress SQL 创建新用户

照着做了一下，发现用户倒是加上了

但权限没给成功…

于是乎，我决定直接 UPDATE 管理员的密码了…

不过为了尽可能不被管理员发现

我还是保存了下管理员密码加密后的值

方便到时候改回去

哦对了。我用的是下面这个咒语

update wp_users set user_pass=md5(‘123456′) where user_login=’admin’;

翻了一下，发现没啥东西

而且比较坑的是

它这里的漫画是不完整的

看到一半它就有个这个东东

然后在前端翻到正确的验证码输进去之后

它也不会给你看接下来的内容的…

我刚刚在后台看到这些文章

本身就是不完整的

这样做人就不厚道了哈

因为有了数据库权限，我想尝试下 mysql 写 shell

但网站根目录不清楚

我还想着 load_file 读一下，发现啥都读不了

然后 secure_file_priv 为 NULL

想着 outfile 随便写点看看能不能写

结果没有 FILE 权限

芜湖，游戏结束~

总体来说，感觉还是怪好玩的

大家要是喜欢的话，可以给我点个赞嘛！

超级谢谢你们啦！

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：隐雾安全 A2cai A2cai《记一次色情APP的渗透过程【绿色健康】》