原创 E20 Lambda小队
Lambda小队
微信号 LambdaTeam
功能介绍 三十功名尘与土,八千里路云和月
__发表于
免责声明:
__ 本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。请遵守中华人民共和国相关法律法规,切勿利用本公众号发布的技术或工具从事违法犯罪活动。最后,文中提及的图文若无意间导致了侵权问题,请在公众号后台私信联系作者,进行删除操作。
0x01 起因
某天在使用某APP(正经APP)时突然手机自动开始播放一段音频,当时给本小驻场吓一跳,还以为是被人隔空把手机给shell了,吓得我立马就打开了burp准备和它碰一碰。
0x02 分析
由于是点了某表单功能后开始播放的,原本猜测是有人利用漏洞往表单里插入了一些恶意文件或者链接,抓包分析以后发现好像并非如此,从burp数据包中分析,声音的来源来自于
是一段某货币交易平台APP介绍视频,视频语音内容与手机上听到的内容一致,由此可以判断是播放了此视频。
根据2021年09月15日银发〔2021〕237号关于进一步防范和处置虚拟货币交易炒作风险的通知文件内容可知
(一)虚拟货币不具有与法定货币等同的法律地位。
(二)虚拟货币相关业务活动属于非法金融活动。
(三)境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动。
(四)参与虚拟货币投资交易活动存在法律风险。
居然有人给违法软件打广告,还是用的违法手段,罪加一等
根据找到的视频地址我们发现来自
https://www.unionadjs.com/cnm313.js文件
进一步定位https://www.unionadjs.com/ddd.html链接来源
位于https://cdn.bootcss.com/moment.js/2.20.1/moment.min.js返回包中。
测试中还发现,并非所有请求都会触发此请求,只有移动端的user- agent头加上特定的referer才可触发此回显,下图为删除referer的返回包,与上图的回包完全不同,猜测只针对移动端以及特定域名的攻击
通过对cdn.bootcss.com域名进行查询发现是属于BootCDN,查阅历史漏洞发现存在过一些投毒风险的预警
此次被影响的js文件与之前通报的并不相同,推测攻击者对更多js文件进行了恶意修改,目前已知泛微emobile可能会出现此问题,通过空间搜索引擎搜集部分引用了BootCDN https://cdn.bootcss.com/moment.js/2.20.1/moment.min.js文件的网站进行遍历,发现以下两个域名也会加载视频文件。
**0x03 修复建议
**
如果移动端访问您的业务站点时发现以上语音广告特征,可以联系厂商确认业务是否引用cdn.bootcss.com相关js,将相关的代码内容注释,下载js到本地引用。
**0x04 加入我们
**
后台回复“加群”或“小助手”,或扫描下方二维码加入我们的付费圈子,一起进步吧
预览时标签不可点
微信扫一扫
关注该公众号
继续滑动看下一个
原创 E20 Lambda小队
轻触阅读原文
Lambda小队
向上滑动看下一个
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看 分享 留言