关于无问社区
无问社区-官网:http://www.wwlib.cn
无问社区:网安文章沉浸式免费看!
无问AI大模型不懂的问题随意问!
全网网安资源智能搜索只等你来!
你们点点“分享”,给我充点儿电吧~
0x01 背景提要
网安项目方手中有一个主播联盟的app和一个直播平台游客端app,该app是一款黄色直播+资金盘集成的app,由于他们没有好的突破点,找不到开发人员信息/涉黄涉赌人员,只知道这是个大规模的团伙形式,掌握的部分信息比较局限,想从我们公司的情报方向找找突破点。
先用无问AI模型给大家科普一下什么是App远程取证,在一步一步的给大家讲解这次
0x02 取证流程思路
a. 通过反编译游客端 + 主播端找到外联站点
b. 根据外联站点找到同类 app,提取其中的开发者信息与服务器中信息相匹配
c. 抓取主播端流量 -> 找到汇聚接口 -> 确定接口 - app 互通
d. 抓取游客端流量 -> 汇聚接口找到正在开播的房间 -> 与游客端正在开播的信息相匹配 -> 确定汇聚接口为所有平台的总根据地
e. 通过反编译的代码 确定代理层级关系图
f. 画像汇聚 -> 延伸
0x03 入手【反编译进行快速画像】
拿到主播联盟和游客端 app 后,由于主播联盟需要输入代理号码
所以我尝试抓取流量包进行爆破枚举,但这个界面无流量(因为未走 http 协议,要抓取需要抓取其他协议的包),只发现了去友盟拉取更新包
经分析,其为推送更新,其中泄漏的东西有
○ appkey、appname、aaid、packagename
可以通过他们来找到指定的开发运营团队(需要友盟进行协助调查等),虽然得到了部分开发者信息,但我们是没有权限调取一些信息的
于是,我对该 app 进行字符串提取,看一下外联的服务器及网址
粗略整理了下 发现直播apk里的服务器地址
Plain Text
livepu*.myqcloud.com
mlv*.live.qcloud.com
tcdnsi*.myqcloud.com
1255566*.vod2.myqcloud.com -》 发现请求 https://77.7271t.tv/
根据地址 / 包名等指纹 可找到同样的样本
0x04 过程
从主播联盟. apk 里提取关键 url
-> 发现 dom.mkcy.com、和 livepv6.myqcloud.com
-> 根据 livepullipv6 指纹追溯至 77.7271t.tv,继续提取相关字符串, 从 com/fanwe/live/ui/activity/start/CheckBActivity.java 代码中发现 gitee 中的一个 bucket 与 zhubo.txt 一致
https://gitee.com/newsign/oss-of-zb/raw/master/bucket // 反编译出来的 确定开发者账号
https://77.7271t.tv/zhubo.txt
http://domains.mkecy.com/zhubo.txt
两者一致 所以可以确定 gitee 开发者账号及名字
username:newsign
姓名:王莽
0x05 深入【逆向分析 + 流量提取】
逆向主播端 - 画像收集
输入代理编号后进行注册,抓取头几条流量如下
其中比较重要的是 id=1 id=5 两条流量数据
xl.apiscript.cn
ddt.lzzncm.com -> 查看这个的 whois 可得到网站具体注册人信息 邮箱等
管理员名称 康强
管理机构 kang qiang
行政街, 陕西, 榆林, 郏县
行政城市 yu 榆林
行政州 / 省 陕西
管理员邮政编码 719200
根据 http://77live.ynolbs.com/ 的公网指纹可发现暴露了一个公共接口(当时推测)
http://221.229.204.246:81/mf/jsonyuezhibo.txt
下载里面几张图片看看
http://221.229.204.246:81/mf/jsonyuezhibo.txt 那么 通过这里了发现 有一些是 flv 有一些是 rtmp 协议加密的视频,并且是即时刷新变换的 也就是说 这里就是所有正在开播的房间直播地址!,通过特定在线播放器进行播放测试。
根据这一个发现,我决定继续扩大战果:
http://221.229.204.246:81/mf/yuncaidan.txt
这个界面可以看到所有主播联盟的二级团伙77联盟(77直播)就是其中一个,回到上面77love是我们输入雪梨代号的时候抓包显示的,那么大胆猜测雪梨直播 就是77联盟的一个下级子成员。
非免费接口
查看 http://221.229.204.246:81/mf/json.txt 发现形式为 json + 联盟的形式
{
"pingtai": [
{ "address":"jsonweishizhibo.txt","xinimg":"http://p2.so.qhmsg.com/t02a3bd890711408ef1.jpg","Number":"24","title":"u536Bu89C6u76F4u64AD"},
{ "address":"jsonlongzhu.txt","xinimg":"http://ww3.sinaimg.cn/large/87c01ec7gy1fqi4cgzdv6j2020020q2v.jpg","Number":"3","title":"u9F99u73E0"},
{ "address":"jsonyingke.txt","xinimg":"http://ww4.sinaimg.cn/large/87c01ec7ly1fr5dlbjj3xj204501u0sl.jpg","Number":"14","title":"u6620u5BA2"},
{ "address":"jsonkawayi.txt","xinimg":"http://wx3.sinaimg.cn/mw690/0060lm7Tly1fu6p7zazkzj303t03imx2.jpg","Number":"132","title":"u5361u54C7u4F0A"}
访问后则可看到当前正在开播的房间
0x06 远程取证阶段
确定雪梨平台归属的团伙及所有规模
根据主播联盟 apk 数据包可看出,当我们输入雪梨的编号进行注册 登录后,确定流量直接指向了该服务器 所以该服务器就是主播联盟的上报、拉取的服务器
现在可以直接确定上面公网发现的接口不是免费接口 而是一个汇聚集合的上游接口了(因为两者均存在数据交互和展示 而不是单方面的)。
抓取游客端流量(雪梨游客端 app),点击正在直播的房间,发现流量中出现一些域名地址,去 json77zhibo.txt 里发现正在开播的房间 有该地址且完美匹配,所以猜想成立。
0x07 代码层验证代理层级关系
反编译杏仁.apk 后发现会去下图所示的地址拉取代码 [com/keswe/hjhsstwo/BuildConfig.java],由于上面已经有了推测加验证属于 77 联盟,注意该文件里均有 7704,且 agent=7704 那么就是代号为 04 的 77 联盟成员(联盟下的 04 团伙)
同理,那么其他 apk 为 01-10,则表示 其也为 77 联盟下的团伙, 如草莓 07
0x08 思路总结
根据上面的 yuncaidan.txt 发现 136 个直播团队,其中有一个叫 77,而主播联盟我们使用雪梨的代号进行注册时发现去 77live.* 拉取了一张图片,于是我们去 77 团队里找雪梨客户端中能看到的主播地址,与 json77zhibo.txt 的做比对,现在纵观全局 可以直接梳理出雪梨为 77 大团伙下的雪梨家族。至于杏仁、baby、夜色、初夜都是这 136 个大直播团队的下级了
统计下规模
经过分析得出最终结论:77 联盟旗下有7-10个子平台,含雪梨、玫瑰、草莓、杏仁等直播平台,主播联盟共 136 个团伙组成
分享、在看与点赞,至少我要拥有一个吧
这只是无问社区的一种使用方式,更多的使用方式,会持续去探索实践,欢迎大家前来交流!!!
最后,欢迎点赞评论留下自己的看法,会随机抽取五名幸运儿赠送,无问社区社区红包!
欢迎大家前来使用无问AI大模型
每篇文章都是我们用心的结果,欢迎一键三连
加入粉丝群可在公众号页面联系我们进群
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...