中国红客联盟app高危漏洞分析

Free_小东

dz的安卓客户端是否通用存在这个问题呢？

王珂

wuyan 发表于 2016-3-23 22:48
说6又不给币

另外可以看到很多组件没有定义export这个，明显就是开发者没有详细阅读文档，这里export默认的都是true，除非显式的定义为false。这个开发这是谁，拖出去斩了

wuyan

Free_小东 发表于 2016-3-24 20:15
dz的安卓客户端是否通用存在这个问题呢？

这个客户端是米安生成的，只要是在米安生成的都有

90_

Free_小东 发表于 2016-3-24 20:15
dz的安卓客户端是否通用存在这个问题呢？

这个事属于安卓浏览器的问题

wuyan

本质是不是dz的问题，是安卓webview的问题，论坛客户端滥用webview，导致的，本地的，利用起来比较困难

csadsl

楼主用心了，赞一个

sladjfksld

你为何这么牛逼

wuyan

sladjfksld 发表于 2016-3-26 09:48
你为何这么牛逼

拜你所赐啊

Antergone

额，有些日子了，我本来以为懂事理的人一看就明白怎么回事了，但是事到如今我发现还是有很多盲目的人，并没有看到这个文章的精华，和问题的痛点。
这个漏洞确实存在，但Android 4.2之后修复了。但是我要解释一下这里面的一些技术和这个漏洞可能存在的威胁。
其实上面说的这个东西，叫做JsBridge，也就是webview中js和APP交互的东西，楼主也是利用了这个，所以执行了一些busybox命令。
那么什么时候会出现这个问题呢？
1.你的手机Android版本要符合这个漏洞 也就是分界点4.2.有兴趣的可以看一下Android SDK 的 JavascriptInterface注解 在android.webkit.JavascriptInterface;
2：你的上网环境不安全。如果你被DNS劫持了，那么你访问ihonker.org被转到别的地方去了，访问了有恶意JS的页面，那么会造成这些问题。如果是我都能搞定你的网络，那我为何不想办法劫包。
3：和第二点类似，就是我们的论坛真的出现了问题，被人插入了恶意JS并且能执行。我想到现在为止，还没看到，当然不排除可能会存在吧。这个确实是一个痛点，也希望真的有这种问题的时候大家及时发出来，论坛做到快速响应修复。
4：上文说到用户所有的东西都会被拿走。我先说一下，这个不太现实，Android权限管理还是相当严格的。比如我们的App并不需要访问你联系人的权限，也不需要你短信的权限。我想了半天可能需要的就是你手机设备信息、定位、相册。而且在没ROOT的手机下adb shell的权限非常低，对系统造不成威胁，当然这是正常情况，可能存在漏洞，或者外部下载东西 被root
5：如果你的手机ROOT了，我想了下，其实也还好。因为被root的时候都会提示你安装权限管理，在使用su切换adb用户的时候，权限管理明显会提示你，除非你没装这类软件。

所以我想了下，可能这个文章作为教程还是不错的，但是用来打90的脸，或者作为一个噱头说是“高危”还是有些不妥。说白了，并没有达到高危。

文章有很多精华，首先这个APK的缺陷 竟然没有混淆的代码，让楼主这么轻松就拿到了源码。这里使用的估计是apktool，
楼主在反编译的时候我看像是 dex2jar  然后再用了 jd-gui。我也不太确定是不是，大半夜的就看了看图，也没找工具再详细比对。总是这些是可以做到的，楼主的分析也非常仔细，一步步的往下跟，但是这里还是要说一下，工欲善其事，必先利其器。推荐使用android studio做反编译jar分析。

好了，这里该说的也说完了。
感谢楼主的分析教程，也提醒盲目说什么打脸的，觉得非常惊悚的 朋友们 有一个清醒的头脑来分析流程。

wuyan

Antergone 发表于 2016-3-27 01:51
额，有些日子了，我本来以为懂事理的人一看就明白怎么回事了，但是事到如今我发现还是有很多盲目的人，并没 ...

评论很精彩，不过安卓apploudon和大多数毕竟是本地的，想利用，真的很苛刻，还得给装个恶意软件啥的，有这条件，直接装木马了。