记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

以爱奇艺为例说明如何利用安卓程序更新导致远程木马植入(其它应用普遍存在)

2015-08-09 13:45

当我们一手机为入侵目标时,最大的问题就是木马植入。如果我们已经进入内网,控制了wifi,那么就想办法将我们的程序植入到目标手机,之前出现过webview的执行漏洞可以做到,但是现在那个漏洞已经基本不存在了,我们在此处发下的漏洞是利用目标手机上已存在的程序做我们的“下载者”帮助我们下载安装木马。这个漏洞普遍存在手机程序中,这里以爱奇艺手机端为例子。当我们手机上使用较旧版本的程序时,在启动时都会查询服务器发现新版本并提示用户更新。如下图

Screenshot_2015-05-10-22-39-36.png



抓取更新数据包如下

code 区域
GET /api/initLogin?id=35236905141543&key=3179f25bc69e815ad828327ccf10c539&version=5.4&os=4.3&ua=SHV-E210L&access_type=1&network=1&login=0&resolution=720*1280&include_all=1&init_type=0&getvr=1&vip=1&softc=2013-02-18-16-15-22&gps=&type=json&udid=64164dd1b5e44bc7&ppid=&openudid=64164dd1b5e44bc7&uniqid=b87e74572edd4d0cd468dcc8b1815d8d&vip=0&auth=&usertype=-1&adappid=1&cpu=1400000&gpu=&scdensity=2.0&size=4.6&sign=975d772c7538f0e7882f52086e331612&isCrash=0&baiduid=&idfv=974E0404DD801989199A3DFE12696881&p_type=8&client_type=gphone&player_id=qc_100001_100086&s_ids=1000000000322&new_ad=1&platform=GPhone&adpic2=1&reddot=1&predown=1&msg=2&types=2 HTTP/1.1

Accept-Encoding: gzip

Host: iface.iqiyi.com

Connection: Keep-Alive



其中有“version=5.4”就是带着目前版本号就行查询,然后返回新版本的介绍和下载地址。我们使用arp攻击替换返回后的数据中的APK网址为我们的木马网址,就能让爱奇艺帮我们安装木马了。这里我们使用burpsuite来模拟攻击,木马假设为“百度手机助手”,添加替换如图,

捕获.PNG

点击更新后,效果如图

Screenshot_2015-05-10-19-32-43.png



当时这样还有个问题,如果别人手机上都是最新版本的怎么办,那根本就不会返回更新地址。为了解决这个问题我们可以这样做,以关键字检测或者是事先收集好字典来找到version字段,然后把版本的数值降低一个,对于本例子来说假设最新版和手机上都是version=5.4,那我们就把请求包中的5.4改成5.3 这样服务器端就会以为程序版本低了然后提示更新。

过程如图

新建 Microsoft Visio 绘图.jpg





这个还有很多可以打磨的细节,例如可以事先维护一个库来保存常用程序的请求包格式,并把木马图标和名字伪装成目标程序,然后根据程序下载木马,这样效果应该会好



ps:爱奇艺这里的请求包中的校验字段似乎没有效,更改版本号之后请求依然有效。

漏洞证明:

新建 Microsoft Visio 绘图.jpg

修复方案:

使用自有方法对发送的数据包进行校验,防止篡改请求数据包

对返回的数据包添加校验,防止篡改返回数据包

知识来源: www.wooyun.org/bugs/wooyun-2015-0113325

阅读:100506 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“以爱奇艺为例说明如何利用安卓程序更新导致远程木马植入(其它应用普遍存在)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云