安卓应用漏洞学习case1
本课程学习关键函数getLastPathSegment,该函数源码定义如下:
/**
* Gets the decoded last segment in the path.
*
* @return the decoded last segment or null if the path is empty
*/
@Nullable
public abstract String getLastPathSegment();
函数注释写明返回解码的路径。
getLastPathSegment函数是Uri对象中的方法,Uri在安卓中经常作为超链接的载体对象。常用写法如下:
Uri uri = Uri.parse("file:///sdcard/demo.txt");
Uri uri = Uri.parse("https://www.biying.com/name=value");
当uri调用getLastPathSegment函数时,返回值输出为 demo.txt.或name=value,因为输入的超链接地址不是编码形式所以getLastPathSegment解码失败返回链接末尾值。
但是如果输入的链接地址经过编码的那返回值会不一样。
Uri uri = Uri.parse("file:///%2Fsdcard%2Fdemo.txt");
当uri调用getLastPathSegment函数时,返回值为:/sdcard/demo.txt。
因为getLastPathSegment成功解码这个地址所以返回完整的链接地址。
实战案例:
为了学习这个函数,我实现了一个App,通过这个App来理解函数的使用。
首先学习App的apk包格式:
image1
classes.dex 是Java的字节码文件。
res目录存放的是各种资源文件如:图片、字符串等。
META-INF目录是整个apk包的签名文件。
assets目录是存放其他资源文件比如一些壳文件,lua脚本等。
AndroidManifest.xml是apk的配置文件。
resources.arsc 是资源索引文件。
App的有两个功能:
功能1:App运行时将assets目录下的test.txt文件拷贝到app的私有目录下(/data/data/packageName/cache/test.txt),并读取内容显示到界面上。
image1
功能2:接收外部传入的Intent,如果存在Intent的传递,则访问Inten中携带的文件路径并读取文件内容,显示到界面上。
使用jadx反编译来分析这个APK:
因为APP功能简单所以只需要看MainActivity类
image1
在Activity中onCreate函数主要实现,其中getIntent()函数是接收外部传入的Intent,从这里开始往下分析。
第一个判断:
image4
判断Intent不为空,并且intent.getData()也不为空。getData是典型的Java封包思维,那么就存在intent.setData(Uri uri)函数,uri是安卓中传递链接的解释对象。使用方法在前文有提到过,如不熟悉可先看前文。
判断为true流程继续执行。
image
String lastPathSegment = intent.getData().getLastPathSegment();是将uri的值解码赋值给lastPathSegment字符串。lastPathSegment字符串与getCacheDir()组合成File对象。如果File的路径存在则读取文件一行内容显示在界面上。getCacheDir()函数返回的是App安装的私有路径/data/data/packageName/cache 。
清楚了Uri是控制app读取文件的路径,那么就开始写poc代码。
外部传Intent的方式有三种:第一种是deepLink 是一种浏览器跳转到App的方法,第二种是App中创建的Intent发送至目标app,第三种是adb shell的命令行式的,但这种方式功能有限只能测试简单的漏洞。
这里使用第二种创建App:
打开Android Studio 选择 Start a new Android Studio project项
image
选择Empty Activity
image
填写项目名和报名,其他不用管,直接Finish
image
完成后会进入到MainActivity类中,在onCreate函数中实现代码:
image
前面分析可知,路径控制是由Uri决定的。那么代码可以写成如下方式:
Intent intent = new Intent();
intent.setComponent(new ComponentName("com.demo.vul","com.demo.vul.MainActivity"));
intent.setData(Uri.parse("file:///..%2F..%2F..%2F..%2Fsdcard%2Fdemo.txt"));
startActivity(intent);
image
路径设置为sdcard目录下的demo.txt。
首先在sdcard路面下创建一个demo.txt文件,写入自己的内容到文件中。
$ adb shell
$ cd /sdcard
sdcard$ touch demo.txt && echo 'Hello hacker' > demo.txt
这里为什么要写成..%2F..%2F..%2F..%2Fsdcard%2Fdemo.txt这样,是因为在case1中,intent解码uri之后与私有目录组成一个文件路径,我们不想在私有路径下读取文件,那么就使用../../../ 向上寻找文件。在Linux中../../../代表上一个目录。一切准备好后,Android Studio 编译App并安装到虚拟机中或设备上,点击名为poc的App图标启动。很快会执行完毕,界面显示 Hello hacker
image
关注微信公众号或者可以直接加作者微信:
