来源:明不可欺
前几天看到一篇文章“对象存储网络请求中的重大发现,揭秘涉诈APP的神秘服务器地址”
小编看完了文章,本能想去重现一下,结果发现了一直忽略了oss存储的内容,同时也发现了在一定情况下可以绕过ngnix反向代理,直接找到真实服务器,同时也发现了很多问题!问题以后再说,先说怎么绕过。
首先静态分析,需要工具,在无糖浏览器云真机操作台这里可以直接下载。
无糖浏览器-您身边的办案助手,下载地址文末点击阅读原文获取。
下载后注册使用邀请码**【J8ZUCGVYDL74】**可快速开通完整权限。
第一步,为了复现,小编要来了该APK进行分析,首先在res目录的string中看第一段,只要出现yuncheng_app_key的基本都是阿里云oss存储
在im.qxfihfokgu.ui.utils里面有解密的key值与iv值;这个东西用处主要是解密,这个值在哪里填写呢?
在https://gchq.github.io/CyberChef/
需要点from base64,在Search...里面输入aes,点击AES Decrypt,再修改。
这个位置就可以填写在apk里面找到的key值与iv值了。
然后就可以解密了,那重点来了,解密的内容是什么呢?
是阿里云oss的txt文件,是在响应值里面,而且返回值必须是200,不能是403,但是限制于我的账号是免费版,无法看到以前存储的信息。
我们分析了apk后在apk里面找到了该诈骗apk的域名。
但是域名已经是被封禁了,而且是用了ngnix反向代理,全部显示在境外,一般情况下全部放弃了,但是在oss里面却是真实服务器。我们看到从2024-01-31 到现在,运行了好几个月了。
给我们的启示有3个:
1、必须第一时间进行上传测试
2、务必自动化进行抓包提取
3、必可以看到别人分析过的抓包数据,
便于下一步的查询
但是限制于免费账号关系,这里就到这里为止了,也希望相关企业可以给我们提供更多的技术支撑,保存相关数据。这是绕过ngnix反向代理的又一大突破。
经过与大佬沟通,发现这属于树冉家族的源码,在NetworkConfig里面有4个服务器,均为真实服务器,可认定同家族的。
经比对多款apk,发现只有oss的在变化,但是4台服务器均无变化,可以充分考量到这伙人是明确了封禁策略,直接修改oss的txt文档达到替换应用服务器的地址以达到不更换应用即可绕过封禁的目的。
**小贴士:**为什么oss的封禁容易绕过呢?作者是明确了只需要更换oss服务里面的txt文档的做法,直接就绕过封禁的。