协助官方撕开抖yin等app的神秘面纱,远程取证经验分享

网安项目方手中有一个主播联盟的app和一个直播平台游客端app，该app是一款黄色直播+资金盘集成的app，由于他们没有好的突破点，找不到开发人员信息/涉黄涉赌人员，只知道这是个大规模的团伙形式，掌握的部分信息比较局限，想从我们公司的情报方向找找突破点。

先用无问AI模型给大家科普一下什么是App远程取证，在一步一步的给大家讲解这次

a. 通过反编译游客端 + 主播端找到外联站点

b. 根据外联站点找到同类 app，提取其中的开发者信息与服务器中信息相匹配

c. 抓取主播端流量 -> 找到汇聚接口 -> 确定接口 - app 互通

d. 抓取游客端流量 -> 汇聚接口找到正在开播的房间 -> 与游客端正在开播的信息相匹配 -> 确定汇聚接口为所有平台的总根据地

e. 通过反编译的代码 确定代理层级关系图

f. 画像汇聚 -> 延伸

拿到主播联盟和游客端 app 后，由于主播联盟需要输入代理号码

所以我尝试抓取流量包进行爆破枚举，但这个界面无流量（因为未走 http 协议，要抓取需要抓取其他协议的包），只发现了去友盟拉取更新包

经分析，其为推送更新，其中泄漏的东西有

￮ appkey、appname、aaid、packagename

可以通过他们来找到指定的开发运营团队（需要友盟进行协助调查等），虽然得到了部分开发者信息，但我们是没有权限调取一些信息的

于是，我对该 app 进行字符串提取，看一下外联的服务器及网址

粗略整理了下 发现直播apk里的服务器地址Plain Textlivepu*.myqcloud.commlv*.live.qcloud.comtcdnsi*.myqcloud.com1255566*.vod2.myqcloud.com    -》 发现请求 https://77.7271t.tv/根据地址 / 包名等指纹 可找到同样的样本

从主播联盟. apk 里提取关键 url

-> 发现 dom.mkcy.com、和 livepv6.myqcloud.com

-> 根据 livepullipv6 指纹追溯至 77.7271t.tv，继续提取相关字符串, 从 com/fanwe/live/ui/activity/start/CheckBActivity.java 代码中发现 gitee 中的一个 bucket 与 zhubo.txt 一致

https://gitee.com/newsign/oss-of-zb/raw/master/bucket    // 反编译出来的 确定开发者账号https://77.7271t.tv/zhubo.txt     http://domains.mkecy.com/zhubo.txt   

两者一致 所以可以确定 gitee 开发者账号及名字

username:newsign

姓名：王莽

逆向主播端 - 画像收集

输入代理编号后进行注册，抓取头几条流量如下

其中比较重要的是 id=1  id=5 两条流量数据

xl.apiscript.cn

ddt.lzzncm.com -> 查看这个的 whois 可得到网站具体注册人信息 邮箱等

[email protected]

管理员名称 康强

管理机构 kang qiang

行政街, 陕西, 榆林, 郏县

行政城市 yu 榆林

行政州 / 省 陕西

管理员邮政编码 719200

根据 http://77live.ynolbs.com/ 的公网指纹可发现暴露了一个公共接口（当时推测）

http://221.229.204.246:81/mf/jsonyuezhibo.txt

下载里面几张图片看看

http://221.229.204.246:81/mf/jsonyuezhibo.txt 那么 通过这里了发现 有一些是 flv 有一些是 rtmp 协议加密的视频，并且是即时刷新变换的 也就是说 这里就是所有正在开播的房间直播地址！，通过特定在线播放器进行播放测试。

根据这一个发现，我决定继续扩大战果：

http://221.229.204.246:81/mf/yuncaidan.txt

这个界面可以看到所有主播联盟的二级团伙77联盟(77直播)就是其中一个，回到上面77love是我们输入雪梨代号的时候抓包显示的，那么大胆猜测雪梨直播 就是77联盟的一个下级子成员。

非免费接口

查看 http://221.229.204.246:81/mf/json.txt 发现形式为 json + 联盟的形式{"pingtai": [{ "address":"jsonweishizhibo.txt","xinimg":"http://p2.so.qhmsg.com/t02a3bd890711408ef1.jpg","Number":"24","title":"u536Bu89C6u76F4u64AD"},{ "address":"jsonlongzhu.txt","xinimg":"http://ww3.sinaimg.cn/large/87c01ec7gy1fqi4cgzdv6j2020020q2v.jpg","Number":"3","title":"u9F99u73E0"},{ "address":"jsonyingke.txt","xinimg":"http://ww4.sinaimg.cn/large/87c01ec7ly1fr5dlbjj3xj204501u0sl.jpg","Number":"14","title":"u6620u5BA2"},{ "address":"jsonkawayi.txt","xinimg":"http://wx3.sinaimg.cn/mw690/0060lm7Tly1fu6p7zazkzj303t03imx2.jpg","Number":"132","title":"u5361u54C7u4F0A"}

访问后则可看到当前正在开播的房间

确定雪梨平台归属的团伙及所有规模

根据主播联盟 apk 数据包可看出，当我们输入雪梨的编号进行注册 登录后，确定流量直接指向了该服务器 所以该服务器就是主播联盟的上报、拉取的服务器

现在可以直接确定上面公网发现的接口不是免费接口 而是一个汇聚集合的上游接口了（因为两者均存在数据交互和展示 而不是单方面的）。

抓取游客端流量（雪梨游客端 app），点击正在直播的房间，发现流量中出现一些域名地址，去 json77zhibo.txt 里发现正在开播的房间 有该地址且完美匹配，所以猜想成立。

反编译杏仁.apk 后发现会去下图所示的地址拉取代码 [com/keswe/hjhsstwo/BuildConfig.java]，由于上面已经有了推测加验证属于 77 联盟，注意该文件里均有 7704，且 agent=7704 那么就是代号为 04 的 77 联盟成员（联盟下的 04 团伙）

同理，那么其他 apk 为 01-10，则表示 其也为 77 联盟下的团伙, 如草莓 07

根据上面的 yuncaidan.txt 发现 136 个直播团队，其中有一个叫 77，而主播联盟我们使用雪梨的代号进行注册时发现去 77live.* 拉取了一张图片，于是我们去 77 团队里找雪梨客户端中能看到的主播地址，与 json77zhibo.txt 的做比对，现在纵观全局 可以直接梳理出雪梨为 77 大团伙下的雪梨家族。至于杏仁、baby、夜色、初夜都是这 136 个大直播团队的下级了

统计下规模

经过分析得出最终结论：77 联盟旗下有7-10个子平台，含雪梨、玫瑰、草莓、杏仁等直播平台，主播联盟共 136 个团伙组成

这只是无问社区的一种使用方式，更多的使用方式，会持续去探索实践，欢迎大家前来交流！！！

最后，欢迎点赞评论留下自己的看法，会随机抽取五名幸运儿赠送，无问社区社区红包！

欢迎大家前来使用无问AI大模型

每篇文章都是我们用心的结果，欢迎一键三连