当我们一手机为入侵目标时,最大的问题就是木马植入。如果我们已经进入内网,控制了wifi,那么就想办法将我们的程序植入到目标手机,之前出现过webview的执行漏洞可以做到,但是现在那个漏洞已经基本不存在了,我们在此处发下的漏洞是利用目标手机上已存在的程序做我们的“下载者”帮助我们下载安装木马。这个漏洞普遍存在手机程序中,这里以爱奇艺手机端为例子。当我们手机上使用较旧版本的程序时,在启动时都会查询服务器发现新版本并提示用户更新。如下图

抓取更新数据包如下
其中有“version=5.4”就是带着目前版本号就行查询,然后返回新版本的介绍和下载地址。我们使用arp攻击替换返回后的数据中的APK网址为我们的木马网址,就能让爱奇艺帮我们安装木马了。这里我们使用burpsuite来模拟攻击,木马假设为“百度手机助手”,添加替换如图,

点击更新后,效果如图

当时这样还有个问题,如果别人手机上都是最新版本的怎么办,那根本就不会返回更新地址。为了解决这个问题我们可以这样做,以关键字检测或者是事先收集好字典来找到version字段,然后把版本的数值降低一个,对于本例子来说假设最新版和手机上都是version=5.4,那我们就把请求包中的5.4改成5.3 这样服务器端就会以为程序版本低了然后提示更新。
过程如图

这个还有很多可以打磨的细节,例如可以事先维护一个库来保存常用程序的请求包格式,并把木马图标和名字伪装成目标程序,然后根据程序下载木马,这样效果应该会好
ps:爱奇艺这里的请求包中的校验字段似乎没有效,更改版本号之后请求依然有效。
漏洞证明: 修复方案: 使用自有方法对发送的数据包进行校验,防止篡改请求数据包
对返回的数据包添加校验,防止篡改返回数据包