1、Android漏洞檢測(cè)之動(dòng)態(tài)分析 當(dāng)前移動(dòng)互聯(lián)網(wǎng)的發(fā)展帶來(lái)了手機(jī)應(yīng)用的爆炸性增長(zhǎng)，各行各業(yè)蜂擁而入。新興的移動(dòng)互聯(lián)網(wǎng)創(chuàng)業(yè)者，由于市場(chǎng)競(jìng)爭(zhēng)激烈、移動(dòng)應(yīng)用的可替代性高等原因，都會(huì)在盡可能短的時(shí)間內(nèi)完成應(yīng)用開發(fā)、發(fā)布、融資、變現(xiàn)，從而很少會(huì)甚至根本無(wú)暇顧及應(yīng)用的安全問(wèn)題。當(dāng)前APP安全現(xiàn)狀 動(dòng)態(tài)測(cè)試框架或工具fuzzer類DrozerIntent Fuzzer描述全面的安全測(cè)試和攻擊框架針對(duì)手機(jī)中所有app導(dǎo)出組件發(fā)送Intent進(jìn)行模糊測(cè)試優(yōu)點(diǎn)功能多，可擴(kuò)展傻瓜式，一鍵測(cè)試缺點(diǎn)好像沒(méi)啥缺點(diǎn)功能單一，只針對(duì)Intent的模糊測(cè)試，無(wú)法帶數(shù)據(jù)測(cè)試動(dòng)態(tài)測(cè)試框架或工具Hook輔助類XposedFridaS

2、ubstrate優(yōu)點(diǎn)開源，支持版本高多平臺(tái)，hook native，java支持hook native，java缺點(diǎn)無(wú)法hook native層，不能hook接口和抽象類穩(wěn)定性？不支持art只支持到4.3，閉源，無(wú)法hook java字段病從口入，Hold住攻擊入口ActivityServiceProviderReceiverDoSSql注入動(dòng)態(tài)注冊(cè)廣播文件讀取DoSDoS案例1-拒絕服務(wù)檢測(cè)空指針異常CODE：POC:am start -n com.example.test/.MainActivity -a com.action.test 案例1-拒絕服務(wù)檢測(cè)畸形數(shù)據(jù)1.int類型的extr

3、a檢測(cè)方法：getIntExtra()攻擊手段：傳入int的最大值或最小值。對(duì)應(yīng)的api: Integer.MINVALUE，Integer.MAXVALUE2.string類型的extra檢測(cè)方法：getStringExtra()攻擊手段：傳入一些特殊字符，像%$#-ds&%,#3.Parcelable類型的extra。這種類型的數(shù)據(jù)通常是類對(duì)象。檢測(cè)方法：getParcelableExtra()攻擊手段：intent.putExtra(“key”, new ActivityManager.RunningTaskInfo();或者intent.putExtra(“UpdateInfo”, n

4、ew ActivityManager.ProcessErrorStateInfo();4.Uri解析extra檢測(cè)方法：Uri localUri = localIntent.getData();或者Uri localUri =getIntent().getData();攻擊手段：intent.setData(Uri.parse(“/s?cat=%$#-ds”)案例1-拒絕服務(wù)檢測(cè)擴(kuò)展Drozer，一鍵測(cè)試所有activity案例1-拒絕服務(wù)檢測(cè)Chrome 的空指針拒絕服務(wù)案例2-超級(jí)拒絕服務(wù)Chrome超級(jí)拒絕服務(wù)自定義序列化類案例3-ContentProvider目錄遍歷Content P

5、rovider中的危險(xiǎn)動(dòng)作，覆寫openFile方法Hook，信息收集和命中漏洞信息收集命中漏洞動(dòng)態(tài)廣播文件全局讀寫Intent數(shù)據(jù)收集配置全局讀寫http(s) URL收集加密Key硬編碼本地socket綁定信息收集相關(guān)API命中漏洞相關(guān)APIregisterReceiveropenFileOutputgetStringExtra/getIntExtra等getSharedPreferencesopenUrl/loadUrl等SecretKeySpecServerSocket使用Xposed進(jìn)行收集信息Receiver的動(dòng)態(tài)注冊(cè)代碼注冊(cè)廣播思路： 1.hook registerReceive

6、r方法 2.拿到第二個(gè)參數(shù)IntentFilter實(shí)例 3.分析其中action （排除系統(tǒng)action） 4.構(gòu)造Intent進(jìn)行fuzz使用Xposed進(jìn)行收集信息Hook Http Url案例4-全局文件讀寫檢測(cè)hook方法openFileOutputFiddler，助攻webview RCE檢測(cè)FiddlerScript定制public static RulesOption(“&Webview漏洞測(cè)試暴力版)var m_Webviewscan: boolean = false;添加UI菜單if(m_Webviewscan) if(oSession.HTTPMethodIs(GET) o

7、Session.url = /webview.html; oSession.oRequestHost = ; OnBeforeRequest中添加攔截代碼關(guān)于Webview 遠(yuǎn)程代碼執(zhí)行漏洞案例5-2345瀏覽器webview RCE*http:/bugs/wooyun-2010-0192132Xposed+Appium+Fuzz驗(yàn)證=大殺器Xposed hook打點(diǎn)Appium UI遍歷部分漏洞信息Fuzz驗(yàn)證結(jié)果報(bào)告Xposed+Appium還可以干什么？擴(kuò)展一HTTP信息Web Scanner擴(kuò)展二API調(diào)用順序+數(shù)據(jù)信息規(guī)則匹配邏輯漏洞服務(wù)端漏洞擴(kuò)展二 DEMO “寄生獸”-解壓縮目錄穿越有問(wèn)題的API調(diào)用ZipInputStreamgetNamecloseEntrygetNamecloseE