同步发表于:http://blog.hacktons.cn/2017/12/25/janus-demo/

背景

12月9号,Andorid对外曝光了一个名为Janus的重量级系统漏洞CVE-2017-13156), 由安全研究公司Guard Square发现。

Janus原意是神话中的二元身,用于描述这个漏洞还真是贴切。

整个漏洞其实建立在文件校验规则之上:

一个文件即是APK,又是DEX,在安装APK和执行阶段的校验规则差异,导致可以在APK头部附加一个恶意DEX来欺骗系统

下面我们从市场上随意下载一个apk来做测试。

测试APK

本文涉及的测试APK,只用于单击研究之用,请勿恶意散播或上传,由此引发的纠纷与作者无关

可以从豌豆荚,应用宝等市场下一个测试用的APK,为了方便,我们需要选用一些体积较小的apk,如果apk较大很有可能经过了分包,替换工作会麻烦点。

这里比较恶心的是,下载到的apk并不是我们选取的安装包,而是豌豆荚市场,既然豌豆荚这么强势要入镜,那么姑且直接分析豌豆荚市场吧。

MD5 (Wandoujia_224660_web_inner_referral_binded.apk) = d3c1d9b2a74a3f8fd9fce38d38423c58

签名检查

首先检查下豌豆荚的这个apk是不是v2签名的,因为我们要测试的Janus只能在v1下验证

检查签名信息可以通过*.SF来确认,根据公开信息,如果v2签名的话,会在SF文件内写入一个字段 X-Android-APK-Signed:2

豌豆荚的SF文件名字是META-INF/DEAMON2.SF, 比较幸运啊,可以确认其使用的就是v1签名。

aven$ unzip -l Wandoujia_224660_web_inner_referral_binded.apk |grep META-INF

   120009  12-15-17 14:38   META-INF/MANIFEST.MF

   120130  12-15-17 14:38   META-INF/DEAMON2.SF

      891  12-15-17 14:38   META-INF/DEAMON2.RSA


aven$ unzip -p Wandoujia_224660_web_inner_referral_binded.apk META-INF/DEAMON2.SF|less

Signature-Version: 1.0

SHA1-Digest-Manifest-Main-Attributes: jq/6qzaCk3O+H4OBJsDhMXm+FvE=

Created-By: 1.6.0_30 (Sun Microsystems Inc.)

SHA1-Digest-Manifest: Dts4zfEM9pZstNDahVfVh4e4jGA=

Name: res/drawable-xhdpi-v4/il.png

SHA1-Digest: QCves3Cr/wm3X2w4PR4ESXGMBOw=

Name: res/layout/dh.xml

SHA1-Digest: DCuKb0PRLuNV6jTEbSDGMTEW174=

包名确认

接下来我们需要构造一个新的dex,嫁接到豌豆荚的apk前面;这里需要确认豌豆荚使用的包名:com.wandoujia.phoenix2

package: name='com.wandoujia.phoenix2' versionCode='16861' versionName='5.68.21'

sdkVersion:'14'

targetSdkVersion:'16'

另外值得一提的是,豌豆荚的权限还是比较流氓的会要求大量敏感权限,因此在使用该市场的时候注意权限的问题,否则很有可能裸奔了:

比如读/写短信,读/写通讯录等等,还有一些第三方权限

uses-permission:'android.permission.READ_SMS'

uses-permission:'android.permission.RECEIVE_SMS'

uses-permission:'android.permission.MANAGE_ACCOUNTS'

uses-permission:'android.permission.AUTHENTICATE_ACCOUNTS'

uses-permission:'android.permission.USE_CREDENTIALS'

uses-permission:'android.permission.READ_SETTINGS'

uses-permission:'android.permission.READ_EXTERNAL_STORAGE'

uses-permission:'android.permission.SEND_SMS'

uses-permission:'android.permission.WRITE_EXTERNAL_STORAGE'

uses-permission:'android.permission.MOUNT_UNMOUNT_FILESYSTEMS'

uses-permission:'android.permission.INTERNET'

uses-permission:'android.permission.ACCESS_NETWORK_STATE'

uses-permission:'android.permission.ACCESS_WIFI_STATE'

uses-permission:'android.permission.CHANGE_WIFI_STATE'

uses-permission:'android.permission.CHANGE_WIFI_MULTICAST_STATE'

uses-permission:'android.permission.SET_WALLPAPER'

uses-permission:'android.permission.SET_WALLPAPER_HINTS'

uses-permission:'android.permission.WRITE_SETTINGS'

uses-permission:'android.permission.CAMERA'

uses-permission:'android.permission.FLASHLIGHT'

uses-permission:'com.android.launcher.permission.INSTALL_SHORTCUT'

uses-permission:'com.android.launcher.permission.UNINSTALL_SHORTCUT'

uses-permission:'android.permission.READ_PHONE_STATE'

uses-permission:'android.permission.MODIFY_AUDIO_SETTINGS'

uses-permission:'android.permission.SYSTEM_ALERT_WINDOW'

uses-permission:'android.permission.ACCESS_SUPPERUSER'

uses-permission:'android.permission.GET_PACKAGE_SIZE'

uses-permission:'android.permission.KILL_BACKGROUND_PROCESSES'

uses-permission:'android.permission.CLEAR_APP_CACHE'

uses-permission:'android.permission.DISABLE_KEYGUARD'

uses-permission:'com.android.launcher.permission.READ_SETTINGS'

uses-permission:'com.android.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.android.launcher3.permission.READ_SETTINGS'

uses-permission:'com.android.launcher3.permission.WRITE_SETTINGS'

uses-permission:'com.meizu.flyme.launcher.permission.READ_SETTINGS'

uses-permission:'com.meizu.flyme.launcher.permission.WRITE_SETTINGS'

uses-permission:'org.adw.launcher.permission.READ_SETTINGS'

uses-permission:'org.adw.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.qihoo360.launcher.permission.READ_SETTINGS'

uses-permission:'com.qihoo360.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.lge.launcher.permission.READ_SETTINGS'

uses-permission:'com.lge.launcher.permission.WRITE_SETTINGS'

uses-permission:'net.qihoo.launcher.permission.READ_SETTINGS'

uses-permission:'net.qihoo.launcher.permission.WRITE_SETTINGS'

uses-permission:'org.adwfreak.launcher.permission.READ_SETTINGS'

uses-permission:'org.adwfreak.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.huawei.launcher3.permission.READ_SETTINGS'

uses-permission:'com.huawei.launcher3.permission.WRITE_SETTINGS'

uses-permission:'com.fede.launcher.permission.READ_SETTINGS'

uses-permission:'com.fede.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.sec.android.app.twlauncher.settings.READ_SETTINGS'

uses-permission:'com.sec.android.app.twlauncher.settings.WRITE_SETTINGS'

uses-permission:'com.anddoes.launcher.permission.READ_SETTINGS'

uses-permission:'com.anddoes.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.lenovo.launcher.permission.READ_SETTINGS'

uses-permission:'com.lenovo.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.google.android.launcher.permission.READ_SETTINGS'

uses-permission:'com.google.android.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.oppo.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.oppo.launcher.permission.READ_SETTINGS'

uses-permission:'com.yulong.android.launcher3.permission.WRITE_SETTINGS'

uses-permission:'com.yulong.android.launcher3.permission.READ_SETTINGS'

uses-permission:'com.huawei.android.launcher.permission.READ_SETTINGS'

uses-permission:'com.huawei.android.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.htc.launcher.permission.READ_SETTINGS'

uses-permission:'com.htc.launcher.permission.WRITE_SETTINGS'

uses-permission:'com.bbk.launcher2.permission.READ_SETTINGS'

uses-permission:'com.bbk.launcher2.permission.WRITE_SETTINGS'

uses-permission:'android.permission.WAKE_LOCK'

uses-permission:'android.permission.BROADCAST_PACKAGE_ADDED'

uses-permission:'android.permission.BROADCAST_PACKAGE_CHANGED'

uses-permission:'android.permission.BROADCAST_PACKAGE_INSTALL'

uses-permission:'android.permission.BROADCAST_PACKAGE_REPLACED'

uses-permission:'android.permission.RESTART_PACKAGES'

uses-permission:'android.permission.GET_TASKS'

uses-permission:'android.permission.RECEIVE_BOOT_COMPLETED'

uses-permission:'android.permission.CHANGE_NETWORK_STATE'

uses-permission:'android.permission.GET_ACCOUNTS'

uses-permission:'android.permission.VIBRATE'

uses-permission:'android.permission.BIND_ACCESSIBILITY_SERVICE'

uses-permission:'android.permission.READ_CONTACTS'

uses-permission:'android.permission.WRITE_CONTACTS'

uses-permission:'android.permission.CALL_PHONE'

uses-permission:'android.permission.WRITE_SMS'

uses-permission:'android.permission.WRITE_CALL_LOG'

uses-permission:'android.permission.READ_CALL_LOG'

uses-permission:'android.permission.AUTHENTICATE_ACCOUNTS'

uses-permission:'android.permission.WRITE_SYNC_SETTINGS'

uses-permission:'android.permission.MANAGE_ACCOUNTS'

uses-permission:'android.permission.ACCESS_FINE_LOCATION'

uses-permission:'android.permission.ACCESS_COARSE_LOCATION'

uses-permission:'com.wandoujia.phoenix2.permission.MIPUSH_RECEIVE'

uses-permission:'android.permission.PACKAGE_USAGE_STATS'

uses-permission:'android.permission.PERSISTENT_ACTIVITY'

uses-permission:'android.permission.ACCESS_MTK_MMHW'

Hack

接下来开始编码工作,明确下我们的目标:

  • 替换Application,并且在app进程启动时弹出一个toast;
  • 替换启动页,显示一个特殊文案;

因此首先安确认下豌豆荚的自定义application:com.pp.assistant.PPApplication

aven$ aapt dump xmltree Wandoujia_224660_web_inner_referral_binded.apk AndroidManifest.xml|less

    E: application (line=155)

      A: android:theme(0x01010000)=@0x7f0a0001

      A: android:label(0x01010001)=@0x7f0c038a

      A: android:icon(0x01010002)=@0x7f02009d

      A: android:name(0x01010003)="com.pp.assistant.PPApplication" (Raw: "com.pp.assistant.PPApplication")

      A: android:stateNotNeeded(0x01010016)=(type 0x12)0xffffffff

      A: android:windowSoftInputMode(0x0101022b)=(type 0x11)0x3

      A: android:allowBackup(0x01010280)=(type 0x12)0xffffffff

创建同名的PPApplication的,然后加上toast即可,接下来编译得到新的apk,并将其中的dex抽离出来备用。

插曲

在实际插入dex的时候,遇到了一些小插曲,比如插入完后,启动崩溃,所以如果是插入全新的dex的话,需要确认和原有dex的关系,如果完全摒弃原有逻辑,那么需要手动补全manifest中声明的ContentProviderBroadcastReceiver,Activity根据需要替换,Service可选替换

另外合并apk和dex不是简单的字节叠加,需要修改最终apk的偏移量,确保zip的正确性。笔者使用的是一个Python脚本

https://github.com/V-E-O/PoC/tree/master/CVE-2017-13156

效果

搞定之后,可以直接安装apk,也可以覆盖升级安装,接下来启动app就可以看到完全不同的效果;

在这里我们出于实验性质,将豌豆荚市场的application和启动Activity做了整体替换,因此直接感受就是原有逻辑全部没有了,如果我们通过反编译后增量修改的方式来新增dex,纳闷可以实现和原app功能几乎一致的串改,这样可以恶意插入代码,同时不容易被用户发现。

修复

这个bug看起来挺严重的,不过实际上影响有限,如果用户通过正规市场下载程序基本没什么问题,同时Android官方已经做fix,相信后续很快就会在新版本中生效。

对于开发者来说比较被动,最好升级签名为V2,别的就没有屏蔽办法了,比较问题出在系统校验上面。

Janus 二元神漏洞测试的更多相关文章

  1. kali上部署dvwa漏洞测试平台

    kali上部署dvwa漏洞测试平台 一.获取dvwa安装包并解压 二.赋予dvwa文件夹相应权限 三.配置Mysql数据库 四.启动apache2和mysql服务 五.在网页配置dvwa 六.登陆到D ...

  2. ThinkPHP5.0 漏洞测试

    ThinkPHP5.0 漏洞测试 自从ThinkPHP发布漏洞补丁以来,服务器不知道多少次受到了批量扫描漏洞来抓取肉鸡的请求 虽然官方早已发布补丁,还是想试一下TP漏洞,测试两个漏洞 一.全版本执行漏 ...

  3. SPF邮件伪造漏洞测试脚本

    测试脚本: # -*- coding: utf-8 -*- import socket,select,base64,os,re,time,datetime class mail: def __init ...

  4. Android单元测试之二:本地测试

    Android单元测试之二:本地测试 本地测试 本地测试( Local tests):只在本地机器 JVM 上运行,以最小化执行时间,这种单元测试不依赖于 Android 框架,或者即使有依赖,也很方 ...

  5. CSRF 漏洞测试

    CSRF简介: CSRF中文名:跨站请求伪造,英文译为:Cross-site request forgery,CSRF攻击就是attacker(攻击者)利用victim(受害者)尚未失效的身份认证信息 ...

  6. 小程序入口构造工具&二维码测试工具

    小程序入口构造工具&二维码测试工具 本文将介绍我们小程序中隐藏的两个工具页面.原理虽不复杂,收益却实实在在,或许也能给诸君带来启发. 入口构造工具 痛点 PM&运营 投放链接 PM&a ...

  7. 使用Visual Studio Team Services进行压力和性能测试(二)——压力测试执行

    使用Visual Studio Team Services进行压力和性能测试(二)--压力测试执行 1.点击Run test将会该压力测试进行排队,我们将看到等待测试代理屏幕.Visual Studi ...

  8. MS14-064 漏洞测试入侵——20145301

    MS14-064 漏洞测试入侵 Microsoft Windows OLE远程代码执行漏洞,OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术 执行摘要 此安全更新可解决 Microsof ...

  9. MS08_067漏洞测试——20145301

    MS08_067漏洞测试 实验步骤 search MS08_067查看相关信息 show payloads命令查找需要的攻击载荷 选择generic/shell_reverse_tcp来获取漏洞主机的 ...

随机推荐

  1. Python连接Oracle数据库

    今天使用Python连接数据库,连接没有问题,就是中文显示乱码,网上找了很多解决方案, 最后选择使用这个 #!/usr/bin/env python # -*- coding:utf-8 -*- #A ...

  2. linux 内存 大于 jvm xmx

    文章来源: http://www.cnblogs.com/guozp/p/7845605.html 1.虽然你jvm参数设置了-Xms6g -Xmx6g,但操作系统不并会马上分配6G的物理内存,而是确 ...

  3. 休息,归类一下CSS初级的东西

    css基础的东西集中体现在了"磊盒子"这一个枯燥无味的东西上面,灵活的运用盒子的内外边距,浮动,定位以及一些基础的属性,将一个静态的页面变得磊出来,这是CSS基础的练习. 在css ...

  4. [转载] 2 分钟读懂大数据框架 Hadoop 和 Spark 的异同

    转载自https://www.oschina.net/news/73939/hadoop-spark-%20difference 谈到大数据,相信大家对Hadoop和Apache Spark这两个名字 ...

  5. [C#源代码]使用SCPI指令对指定通信端口(RS232/USB/GPIB/LAN)的仪器编程

    本文为原创文章,源代码为原创代码,如转载/复制,请在网页明显位置标明原文名称.作者及网址,谢谢! 本软件是基于NI-VISA/VISA32(Virtual Instrument Software Ar ...

  6. iOS设置圆角的方法及指定圆角的位置

    在iOS开发中,我们经常会遇到设置圆角的问题, 以下是几种设置圆角的方法: 第一种方法: 通过设置layer的属性 代码: UIImageView *imageView = [[UIImageView ...

  7. iOS学习——如何在mac上获取开发使用的模拟器的资源以及模拟器中每个应用的应用沙盒

    如题,本文主要研究如何在mac上获取开发使用的模拟器的资源以及模拟器中每个应用的应用沙盒.做过安卓开发的小伙伴肯定很方便就能像打开资源管理器一样查看我们写到手机本地或应用中的各种资源,但是在iOS开发 ...

  8. CVE-2017-11882漏洞利用

    CVE-2017-11882漏洞利用 最新Office的CVE-2017-11882的poc刚刚发布出来,让人眼前一亮,完美无弹窗,无视宏,影响Ms offcie全版本,对于企业来说危害很大.在此简单 ...

  9. better-scroll 实现tab栏目滑动当前高亮始终在可视区

    https://ustbhuangyi.github.io/better-scroll/doc/zh-hans/#better-scroll better-scroll文档地址 如图 ,是我们要实现的 ...

  10. SpringCloud接入EDAS——服务发现篇

    旁白 很久没有写技术文章了,最近不是写水文就是写小说.说到底,还是最近很少研究技术的缘故,已经到了江郎才尽的地步了. 不过,LZ无意间看到自己团队的小伙伴写的一些文章,觉得还是不错的,于是便动了心思, ...