dz的安卓客户端是否通用存在这个问题呢?
wuyan 发表于 2016-3-23 22:48
说6又不给币
另外可以看到很多组件没有定义export这个,明显就是开发者没有详细阅读文档,这里export默认的都是true,除非显式的定义为false。这个开发这是谁,拖出去斩了
Free_小东 发表于 2016-3-24 20:15
dz的安卓客户端是否通用存在这个问题呢?
这个客户端是米安生成的,只要是在米安生成的都有
Free_小东 发表于 2016-3-24 20:15
dz的安卓客户端是否通用存在这个问题呢?
这个事属于安卓浏览器的问题
本质是不是dz的问题,是安卓webview的问题,论坛客户端滥用webview,导致的,本地的,利用起来比较困难
楼主用心了,赞一个
你为何这么牛逼
sladjfksld 发表于 2016-3-26 09:48
你为何这么牛逼
拜你所赐啊
额,有些日子了,我本来以为懂事理的人一看就明白怎么回事了,但是事到如今我发现还是有很多盲目的人,并没有看到这个文章的精华,和问题的痛点。
这个漏洞确实存在,但Android 4.2之后修复了。但是我要解释一下这里面的一些技术和这个漏洞可能存在的威胁。
其实上面说的这个东西,叫做JsBridge,也就是webview中js和APP交互的东西,楼主也是利用了这个,所以执行了一些busybox命令。
那么什么时候会出现这个问题呢?
1.你的手机Android版本要符合这个漏洞 也就是分界点4.2.有兴趣的可以看一下Android SDK 的 JavascriptInterface注解 在android.webkit.JavascriptInterface;
2:你的上网环境不安全。如果你被DNS劫持了,那么你访问ihonker.org被转到别的地方去了,访问了有恶意JS的页面,那么会造成这些问题。如果是我都能搞定你的网络,那我为何不想办法劫包。
3:和第二点类似,就是我们的论坛真的出现了问题,被人插入了恶意JS并且能执行。我想到现在为止,还没看到,当然不排除可能会存在吧。这个确实是一个痛点,也希望真的有这种问题的时候大家及时发出来,论坛做到快速响应修复。
4:上文说到用户所有的东西都会被拿走。我先说一下,这个不太现实,Android权限管理还是相当严格的。比如我们的App并不需要访问你联系人的权限,也不需要你短信的权限。我想了半天可能需要的就是你手机设备信息、定位、相册。而且在没ROOT的手机下adb shell的权限非常低,对系统造不成威胁,当然这是正常情况,可能存在漏洞,或者外部下载东西 被root
5:如果你的手机ROOT了,我想了下,其实也还好。因为被root的时候都会提示你安装权限管理,在使用su切换adb用户的时候,权限管理明显会提示你,除非你没装这类软件。
所以我想了下,可能这个文章作为教程还是不错的,但是用来打90的脸,或者作为一个噱头说是“高危”还是有些不妥。说白了,并没有达到高危。
文章有很多精华,首先这个APK的缺陷 竟然没有混淆的代码,让楼主这么轻松就拿到了源码。这里使用的估计是apktool,
楼主在反编译的时候我看像是 dex2jar然后再用了 jd-gui。我也不太确定是不是,大半夜的就看了看图,也没找工具再详细比对。总是这些是可以做到的,楼主的分析也非常仔细,一步步的往下跟,但是这里还是要说一下,工欲善其事,必先利其器。推荐使用android studio做反编译jar分析。
好了,这里该说的也说完了。
感谢楼主的分析教程,也提醒盲目说什么打脸的,觉得非常惊悚的 朋友们 有一个清醒的头脑来分析流程。
Antergone 发表于 2016-3-27 01:51
额,有些日子了,我本来以为懂事理的人一看就明白怎么回事了,但是事到如今我发现还是有很多盲目的人,并没 ...
评论很精彩,不过安卓apploudon和大多数毕竟是本地的,想利用,真的很苛刻,还得给装个恶意软件啥的,有这条件,直接装木马了。