酷帥王子'blog-

简单的安卓漏洞挖掘学习(一)

2019-3-9 20:43 作者:酷帥王子 | 黑盒网络渗透测试 | 标签: 原创作者:Peanuts

简单的安卓漏洞挖掘学习(一)

最近打比赛之余看了一些简单的漏洞挖掘知识是关于安卓方面的,希望广大的小白能学到一些,本人菜鸟请大佬勿喷。。。

环境配置

设备选择

这里首先要有个安卓设备(有钱推荐原生谷歌手机),我用的是夜神模拟器这里上两张图,没办法囊中羞涩
https://xzfile.aliyuncs.com/media/upload/picture/20190224200708-b5a3dfe0-382c-1.png
https://xzfile.aliyuncs.com/media/upload/picture/20190224200726-c050aa40-382c-1.png

工具使用

adb

如果使用夜神可以利用夜神安装目录下的adb程序进行运行,夜神也有一个好处就是root会是自动的非常方便省去了好多时间。

drozer

这个简直是个神器了,估计很多大佬也会用,查资料的过程中还了解到他还可以二次开发(自我DIY)推荐大家使用,不过安装过程中可能会有很多的bug。

这里我用的是MAC系统大概的安装流程:

这里是链接https://github.com/mwrlabs/drozer

一般情况下跟着这个安装就不会出错,不过可能会有缺少twis库,这里可以利用pip进行一个安装就可以。

数据泄漏之本地信息储存方式不当

工具准备的差不多我们就可以了解下具体的漏洞类型了,第一个漏洞就是数据泄漏之本地信息储存方式不当。

原理

原理上很简单,因为我们在使用apk的过程之中存在着很多敏感信息如收货地址联系电话等,有的甚至是身高体重家庭状况。这些信息放在本地且明文储存是极其危险的,如果手机不慎遗失,或者是存在恶意软件或是其他的问题极其有可能让问题变的很大。

实例

这里用一个app的例子来说明,因为漏洞还在审核,几乎是需要全程打码了请大家谅解,但是漏洞危害不大可以展示一下。

信息位置确定

首先我们利用drozer进行一个数据储存位置的定位
run app.package.list

寻找到我们需要的挖漏洞的apk,然后再查看app的具体信息

run app.package.info -a apkName

这里就可以查看到数据存放的位置了。一般这里打印出来的是地址都是/data/data/apkName
接着就是打开adb进行一个拖库了。

信息填写

这里是我填写好的具体信息了没有打码的信息都是虚构的,大佬们别查我。。
https://xzfile.aliyuncs.com/media/upload/picture/20190224200751-ceeb519a-382c-1.png

数据拉取

利用命令 ./adb pull /路径 /本地路径就可以在本地拉出数据库了(这里我尝试的事root用户拉取,感兴趣的师傅可以试试其他用户是否可以,如果也可以拉取或者查看那么这个漏洞的问题严重性就会上升了)
我一般拖出整个apk的数据库,然后在share_prefs文件夹里进行一个查看,一般在data_server.xml,接下来我们打开这个文件查看一下。
https://xzfile.aliyuncs.com/media/upload/picture/20190224200810-da732f56-382c-1.png
https://xzfile.aliyuncs.com/media/upload/picture/20190224200824-e2884104-382c-1.png
这里就可以很明显的看到我们的信息了,这就算是一个简单的漏洞了(是不是其实挖洞有时候并不难,当然大厂是不会犯这样的错误,如果你打开淘宝的这些属性,全是一些加密字符。。)

总结

整个漏洞的挖掘过程就大概是这个样子了,这个漏洞是比较小的厂商,或者是本地储存信息不敏感的厂商才会出现,但是大家可以去试试说不定就是你人生的第一个漏洞尼~挖到漏洞感觉还是很好的不管是低危,还是高危。下次具体会分享一下本地拒绝服务的漏洞,这个漏洞问题是可大可小的看具体情况。

点击收藏 | 0关注 | 2

文章作者:酷帥王子
文章地址:https://www.2k8.org:443/post-87.html
版权所有 © 转载时必须以链接形式注明作者和原始出处!

评论列表:

x

评论时间:2019-09-03 21:09
这是个锤子的漏洞。。。开调试了还是root权限本来就可以访问应用的私有目录。你用另一个恶意应用去越权获取到其他应用的私有目录数据才是漏洞

发表评论:



Powered by 酷帥王子

CopyRight © 2009-2016 酷帥王子'blog.  All rights reserved.