3. 移动安全渗透测试-(Android基础漏洞)
3.1 数据存储漏洞
用户经常会把敏感数据交给app,比如:
用户名and密码
认证令牌
联系人记录
通信记录
历史使用记录
.....
只要愿意,app可以收集这些用户的隐私和个人信息明文存储或明文传输,通常保存在本地,也不排除上传到网络
• 本地保存
• 网络保存
本地保存
• SharedPreferences
data/data/程序包名/shared_prefs/*.xml
创建配置文件时没有使用MODE_PRIVATE模式,导致其他程序可以读取配置文件,root用户可读
• SQLiteDatabases
data/data/程序包名/database/*.db
创建数据库时没有使用MODE_PRIVATE模式
• InternalStorage
data/data/程序包名/files/*
没有使用MODE_PRIVATE模式
• ExternalStorage
/mnt/sdcard/*
扩展阅读
http://www.droidsec.cn/android-database配置模式安全风险浅析/
http://www.droidsec.cn/android本地数据存储:internal-storage安全风险浅析/
3.2 组件暴露漏洞
1、android:exported
四大组件中都有的一个属性:android:exported
export为true,表示可以被外部调用;export如果为false,表示不可以被外部调用
<activity
android:name=".PartActivity"
android:theme="@android:style/Theme.Dialog"
android:export="true">
</activity>
在定义四大组件时,经常是不写export这个标签的,系统默认的export是什么?
如果四大组件包含intent-filter,那么Android系统认为这个组件可以被外部通过隐式调用,所以默认export为true
如果四大组件不包含intent-filter,那么Android系统认为这个组件值只可以被内部通过显式调用,所以默认export为false
2、简单测试
adb forward tcp:31415 tcp:31415
drozer console connect
确定攻击面
run app.package.attacksurface 包名
获取activity信息
run app.activity.info –a包名
启动activity
run app.activity.start --component包名 包名.XXActivity
绕过认证
activity暴露后被第三方调用,可能在没有密码的情况下登录/重置密码
越权行为
低权限程序通过调用高权限程序暴露的组件,执行高权限动作
3、组件的权限控制
为了增加四大组件的安全,可以定义访问某个组件需要某个权限
<activity
android:name=".PartActivity"
android:theme="@android:style/Theme.Dialog" >
android:permission="com.example.test.permission"
</activity>
<permission android:name="com.example.test.permission"
android:protectionLevel="dangerous"
android:label="test"
android:description="test_permission" />
如果需要使用必须在AndroidManifest.xml,通过申请权限
调用组件者声明:<uses-permission android:name="com.example.test.permission" />
android:protectionLevel,如果是Signature,那么只有和这个应用使用相同私钥签名的应用才可以申请这个权限。
扩展阅读
https://bugs.secquan.org/bugs/WooYun-2014-48501
http://www.droidsec.cn/content-provider文件目录遍历漏洞浅析/
3.3 APP中的SQL注入漏洞
连接上模拟器/真机
nox_adb.exe connect 127.0.0.1:62001
端口转发,转发到Drozer使用的端口31415
adb forward tcp:31415 tcp:31415
开启Drozer console
drozer console connect
获取Content Provider信息
run app.provider.info -a com.qijia.o2o
定位到small代码com.qijia.o2o.provider.CityProvider
content://com.qijia.o2o
检测sql注入
run scanner.provider.injection -a com.qijia.o2o
Not Vulnerable:
content://com.tencent.mm.sdk.plugin.provider/sharedpref/
content://com.sina.weibo.sdkProvider/query/package
content://com.tencent.mm.sdk.comm.provider/jumpToBizProfile
content://downloads.com.qijia.o2o
content://telephony/carriers/preferapn/
content://com.tencent.mm.sdk.comm.provider/openRankList
content://com.tencent.mm.sdk.comm.provider/joinChatroom/
content://com.tencent.mm.sdk.comm.provider/createChatroom/
content://downloads./
content://com.tencent.mm.sdk.comm.provider/addCardToWX/
content://com.qijia.o2o/full/
content://com.qijia.o2o/children
content://com.qijia.o2o/children/
content://com.qijia.o2o/
content://com.sina.weibo.sdkProvider/query/package/
content://telephony/carriers/preferapn
content://com.tencent.mm.sdk.comm.provider/openBusiLuckyMoney
content://downloads.com.qijia.o2o/
content://com.tencent.mm.sdk.comm.provider/jumpToBizTempSession/
content://com.tencent.mm.sdk.comm.provider/jumpToBizProfile/
content://orm
content://com.qijia.o2o/full
content://com.tencent.mm.sdk.comm.provider/addCardToWX
content://com.tencent.mm.sdk.comm.provider/joinChatroom
content://orm/
content://com.tencent.mm.sdk.comm.provider/jumpToBizTempSession
content://com.tencent.mm.sdk.plugin.provider/sharedpref
content://com.tencent.mm.sdk.comm.provider/createChatroom
content://com.tencent.mm.sdk.comm.provider/openWebview/
content://com.qijia.o2o
content://com.tencent.mm.sdk.comm.provider/openRankList/
content://com.tencent.mm.sdk.comm.provider/openWebview
content://downloads.
content://com.tencent.mm.sdk.comm.provider/openBusiLuckyMoney/
Injection in Projection:
content://com.qijia.o2o/provinces
content://com.qijia.o2o/provinces/
Injection in Selection:
content://com.qijia.o2o/provinces
content://com.qijia.o2o/provinces/
使sql语句报错
run app.provider.query content://com.qijia.o2o/provinces --projection "'"
unrecognized token: "' FROM areas WHERE parent = ''" (code 1): , while compilin
g: SELECT ' FROM areas WHERE parent = ''
开启一个web服务,可以和手机上的content provider连接,还可以和sqlmap联合使用
run auxiliary.webcontentresolver
http://localhost:8080/query?uri=content://com.qijia.o2o/provinces&projection='
SELECT ' FROM areas WHERE parent =
http://localhost:8080/query?uri=content://com.qijia.o2o/provinces&projection=*#
SELECT ‘ FROM areas WHERE parent =
SELECT * FROM areas WHERE parent =
3.4 本地拒绝服务攻击漏洞
Android应用本地拒绝服务漏洞源于程序没有对Intent.getXXXExtra()获取的异常或者畸形数据处理时没有进行异常捕获
攻击者通过intent发送空数据、异常或畸形数据给受害者应用,导致其崩溃
本地拒绝服务漏洞不仅可以导致安全防护等应用的防护功能被绕过或失效(如杀毒应用、安全卫士、防盗锁屏等)
而且也可被竞争方应用利用来攻击,使得自己的应用崩溃,造成不同程度的经济利益损失
测试
确定攻击面
dz> run app.package.attacksurface 包名
获取activity信息
dz> run app.activity.info -a com.nineteenlou.nineteenlou
启动activity
dz> run app.activity.start --component com.nineteenlou.nineteenlou com.tencent.tauth.TAuthView
获取广播组件信息
run app.broadcast.info -a 包名
向广播组件发送空action
dz> run app.broadcast.send --component包名 广播组件名
详细分析和修复
Android客户端信息泄露以及拒绝服务漏洞
https://bugs.secquan.org/bugs/WooYun-2015-119959
https://www.secpulse.com/archives/3859.html
3.5 allowbackup备份风险
AndroidManifest.xml 配置文件中显式配置了android:allowBackup=true
备份
adb backup -f E:\back.ab -noapk 包名
可以输入密码也可以不输入
使用android-backup-extractor(abe)工具来解析ab文件
https://github.com/nelenkov/android-backup-extractor/releases
java -jar abe.jar unpack back.ab applock.tar
SmartLockConfig.xml
实际案例:
某密码锁未root备份:https://blog.csdn.net/qq_31387043/article/details/51452782
微博app备份:https://blog.csdn.net/chuyouyinghe/article/details/53609806
3.6 activity 劫持
用户打开安卓手机上的某一应用,进入到登陆页面
这时,恶意软件侦测到用户的这一动作,立即弹出一个与该应用界面相同的Activity,覆盖掉了合法的Activity
用户几乎无法察觉,该用户接下来输入用户名和密码的操作其实是在恶意软件的Activity上进行的
Activity劫持实例与防护手段
http://blog.chinaunix.net/uid-29170659-id-4930737.html
3.7 webview明文存储,代码执行,同源策略等其他漏洞
WebView
现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等
功能是由 Android的WebView 实现的
WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险
webview-file域同源策略
http://www.droidsec.cn/webview-file域同源策略绕过漏洞浅析/
WebView 明文存储
案例:https://bugs.secquan.org/bugs/WooYun-2013-20246
WebView默认开启密码保存功能 :
myWebView.setSavePassword(true)
WebView代码执行
https://www.52pojie.cn/thread-322022-1-1.html
https://blog.csdn.net/u012195899/article/details/68942725
WormHole虫洞漏洞
https://blog.csdn.net/jltxgcy/article/details/50686858
应用克隆漏洞分析 https://blog.csdn.net/xwh_1230/article/details/79045251
最新文章
- 【腾讯Bugly干货分享】Android动态布局入门及NinePatchChunk解密
- [译]MVC网站教程(四):MVC4网站中集成jqGrid表格插件(系列完结)
- vmware12 ubuntu14.01桥接模式静态IP上网
- HTTP状态码大全
- buffer和cache有什么本质区别
- hibernate操作数据库例子
- matlab参数查询
- ch2-3:模块的使用-window环境
- invoke Javascript from C# code
- js控制ul的显示隐藏,对象的有效范围
- Linux多线程之同步3
- typedef 总结
- 最简单的ADABOOST人脸检测程序。COPY执行,前提是你配置OpenCV周围环境
- Codeforces 817F MEX Queries
- python--同步锁/递归锁/协程
- 一个貌似比较吊的递归转换为loop--总算成功了.--第二弹
- Android中让多个线程顺序执行探究
- tensorflow 语音识别报错
- MessageFormat的用法,java动态替换String字符串中的占位符
- jquery 表单序列化
热门文章
- Material 风格的搜索框MaterialSearchView的使用
- sourceTree3.2.6 跳过注册的方法(最新)
- Hive性能调优(一)----文件存储格式及压缩方式选择
- BayaiM__ oracle函数_02
- Multi-touch (MT) Protocol 小结
- centos7中启动tomcat提示bash: tomcat8.0.39/bin/startup.sh: 权限不够
- v-bind是是否需要绑定某一个类名
- 【CSP-S 2019】D2T1 Emiya 家今天的饭
- 洛谷P1283 平板涂色 &&一本通1445:平板涂色
- Kubernetes集群的安全机制