Apktool任意文件写入漏洞分析 CVE-2024-21633

最新推荐文章于 2024-07-09 16:03:15 发布
最新推荐文章于 2024-07-09 16:03:15 发布
阅读量662 收藏 6
点赞数 24
分类专栏: 漏洞分享 代码审计和安全渗透 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/INSBUG/article/details/136079889
版权
本文详细描述了Apktool中CVE-2024-21633漏洞,涉及资源文件路径判断不安全,攻击者可通过修改资源名称实现路径穿越,影响Android应用的文件系统。文章还介绍了漏洞复现过程和MobSF框架中的利用方法,以及修复措施。
摘要由CSDN通过智能技术生成

前置知识

在复现该漏洞前,有必要了解Apktool和resources.arsc相关的基础知识,方便理解后续POC的构造。

Apktool是一款流行的开源逆向工程软件,用于反编译和编译Android应用,因此,Apktool被许多其他逆向工程软件集成。

官网地址:

https://apktool.org/

项目地址:

https://github.com/iBotPeaches/Apktool

该工具可以将Android应用的apk文件反编译为可编辑的项目结构,同时也可以将编辑后的文件重新打包成apk文件,反编译和重打包操作分别对应工具的d、b两个参数。

图片

resource.arsc文件是apk打包过程产生的一个资源索引文件,该文件内容是Android项目的资源和资源索引信息,/res目录中除了values外的资源文件路径都会记录在resources.arsc中。

图片

漏洞介绍

CVE-2024-21633漏洞Apktool在2.9.1版本及之前的版本中存在漏洞。Apktool根据资源名称判断资源文件的输出路径,攻击者可以利用这一特点将文件放置在系统上指定位置。因而,攻击者可以写入或覆盖用户具有写入权限的任何文件,甚至是在知晓用户名的情况下写入文件到当前工作目录在用户目录下。

例如,名称为foo,路径为res/raw/bar的资源会被提取到res/raw/foo。但资源名称没有经过校验,因此将资源名称从foo更改为../../../../../../../../../../.. /../tmp/poc,最终会将res/raw/bar文件放置到Linux系统中的/tmp/poc中,同理Windows系统中也存在漏洞。

漏洞复现

该漏洞的复现参考了漏洞发现者在GitHub发布的文章,但作者没有说明POC如何构造,像jadx、AndroidStudio只能反编译apk,但无法直接编辑apk资源。最终选择使用MT管理器构造了apk,具体过程如下:

在安卓模拟器安装MT管理器,这是一款多功能的APK逆向工程软件,同时兼具文件管理器功能,可以用于汉化应用、替换资源、修改布局、修改逻辑代码、资源混淆、去除签名校验等等。

图片

将我们要构造POC的apk包也安装到模拟器,而后使用MT管理器提取apk包。

图片

点击提取后的apk包,选择查看。

图片

选中resources.arsc,并使用ARSC编辑器打开。

图片

找到raw目录下的type-info。

图片

在该文件中增加属性是realName,数值是路径穿越的POC,该文件中所见的id、name即为开头提到的resource.arsc文件中列出的资源名称和资源索引。

图片

之后保存修改,继续保存为工程,并进行编译。

图片

图片

在项目编译过程中漏洞实际上会被触发,因此上述过程只是对resource.arsc进行编译,接着将修改好的resources.arsc文件通过共享文件夹提取到电脑。

图片

使用压缩软件打开原始的apk包,删除其中的resources.arsc文件,再将修改好的resources.arsc替换进去。

图片

我们以集成了Apktool工具的移动安全检测框架MobSF为例复现该漏洞,在MobSF中上传构造好POC的apk文件。

图片

上传完成后查看tmp目录,发现POC构建的poc文件被上传到了系统tmp目录。

图片

但上传后的文件没有执行权限,此时仅仅是任意文件覆盖的漏洞。不过,漏洞作者在研究后发现MobSF使用jadx(另一款流行的软件逆向工程软件)作为其静态分析的一部分,它通过子进程调用jadx,但在此之前它会将jadx的权限更改为可执行文件。

因此,可以使用文件名为jadx的POC作为apk的res资源文件名,在其中写入任意脚本,再通过路径穿越覆盖jadx文件实现命令执行。

MobSF中上传的apk包位于/.MobSF/uploads/文件名MD5/apktool_out/res/raw,jadx的路径是/Mobile-Security-Framework-MobSF/mobsf/StaticAnalyzer/tools/jadx/bin/,需要六级目录的穿越。

图片

按上述步骤重新使用MT管理器构造POC如下。

图片

再保存重新编译打包,并上传到MobSF,上传后查看jadx文件是已经被成功覆盖为写入的命令。

图片

漏洞修复

该漏洞的修复方式很简单,新版的Apktool新增了路径穿越符号的检测代码。

图片

图片

参考资料

https://github.com/0x33c0unt/CVE-2024-21633

https://github.com/iBotPeaches/Apktool/security/advisories/GHSA-2hqv-2xv4-5h5w

作者:RoShine

2024年2月8日 

洞源实验室

洞源实验室
关注
  • 24
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apktool编译和反编译的(实用、常用)命令
孤独老鹰
03-13 4641
1、查看apktool 当前版本2、详细输出apktool 命令,该参数必须作为第一个参数apktool -v3、静默输出,即输出是不显示详细信息,该参数必须作为第一个参数-q,–quietapktool -q4、命令行每一步操作前,打印详细信息。
Android逆向之旅—反编译利器Apktool使用教程(Apktool的安装使用)建议新手浏览
qq_41866988的博客
10-29 4万+
首先下载apktool.bat和apktool.jar这个译文:1.下载Windows包装脚本(右键单击,将链接另存为apktool.bat)2.下载apktool-2(在此处查找最新版本)3.将下载的jar重命名为apktool.jar4.将两个文件apktool.jar和apktool.bat)移动到Windows目录(通常为C://Windows)5.如果您没有访问C://Windows的权限,可以将这两个文件放在任何位置,然后将该目录添加到环境变量系统PATH变量中。
【Android】使用Apktool反编译Apk文件
将冲破艾迪i的博客
02-15 8222
这个参数指定了签名后的 APK 文件的输出路径和名称,即 app-release-signed.apk,这个文件是原始 APK 文件 app-release.apk 经过签名后的结果。:这个参数指定了生成的密钥对和证书的别名(alias),此处别名为android_keystore,这个别名在密钥库中用于唯一标识这个特定的密钥对和证书。:这个参数指定了密钥库中用于签名的密钥对的别名,别名是在使用 keytool 生成密钥对时指定的,它用于在密钥库中唯一标识这个特定的密钥对。
使用 apktool 解包 apk 并重新打包签名
最新发布
小单的博客专栏
07-09 1143
Apktool 是一款用于对第三方、封闭、二进制 Android 应用进行逆向工程的工具。它可以将资源解码为接近原始形式,并在进行一些修改后重建它们;它可以逐步调试 smali 代码。由于具有类似项目的文件结构和一些重复任务(例如构建 apk 等)的自动化,它还可以更轻松地使用应用。本文以某myapp.apk为例,解包后修改文件中的内容,再重新打包签名。
Apktool工具的下载安装和简单使用;反编译and解包打包;
Sciurdae的博客
10-20 5854
apktool"apktool" 是一个用于反编译和重新编译 Android APK 文件的开源工具,可以将APK文件反编译成可读的Smali代码或原始的XML布局文件apktool需要java环境支持,请先安装好java环境,可以使用 java -version,java版本尽量在1.8以上;
Apktool - 您的Android应用反编译神器
gitblog_00059的博客
03-17 1053
Apktool - 您的Android应用反编译神器 ApktoolA tool for reverse engineering Android apk files项目地址:https://gitcode.com/gh_mirrors/ap/Apktool 简介 Apktool 是一个开源工具,用于在 Android 平台上进行应用的反编译、修改和重新打包。它通过解码 APK 文件中的资源文件和...
Android apk安装包反编译——apktool工具
西凉的悲伤博客
12-26 6724
到这里你已经得到了一个修改后的 apk,但是这个编译后的 apk 还无法安装到手机上,因为修改了文件,在安装时手机会对安装包里的签名进行比对签名,如果签名对不上说明apk被篡改了,就不会进行安装。一般 apk 都会进行加固,即对 Dex 加密,Dex 就是格式的文件里是 apk 的代码,加密后反编译是看不到项目主要代码的,从而保证了 apk安全性。使用 apksigner.jar 然后用 new.keystore 密钥库对 sign1.apk进行签名,最后生成 sign2.apk
最新版本反编译工具apktool+dex2jar+jd-gui工具
04-11
这对于分析第三方应用的功能、查找漏洞或者进行二次开发非常有用。 最后,我们提到的是jd-gui。这是一个图形化的Java反编译器,用于显示Java字节码的源代码。通过jd-gui,开发者可以直接查看.dex通过dex2jar转换后...
最新版apktool,dex2jar,jd-gui
08-02
例如,你可以使用apktool来解包APK,然后用dex2jar将解包出的.dex文件转换为.jar,最后通过jd-gui打开.jar文件查看源代码。在实际操作中,确保按照每个工具的文档或说明进行配置和使用,以避免遇到问题。 总之,...
反编译工具汇总apktool、dex2jar、jd-gui
01-01
在实际操作中,一般先使用apktool解压APK,然后提取出.dex文件,接着用dex2jar将.dex转换为.jar,最后通过jd-gui打开.jar文件查看源代码。需要注意的是,这些工具的使用应当遵守软件许可协议和法律法规,不得用于...
Apk反编译三合一apktool,dex2jar,jd-gui-windows.zip
08-05
在IT行业中,尤其是在移动应用开发领域,反编译是一个重要的技术环节,主要用于研究应用程序的工作原理、提取资源或者修复漏洞。本资源"Apk反编译三合一apktool,dex2jar,jd-gui-windows.zip"提供了三个关键工具,...
安卓逆向分析工具包apktool+dex2jar+jd-gui
12-18
- **逆向分析**: 使用Apktool解包APK,查看其内部结构,包括资源文件和AndroidManifest.xml。 - **代码查看**: 将.dex文件通过dex2jar转换为.jar,然后用JD-GUI打开查看Java源代码。 - **修改与重构**: 修改Apktool...
Apktool反编译和重新打包
热门推荐
赵航的博客
11-13 6万+
可以直接查询下version可以根据提示进行安装。
安卓学习笔记之二:APKtool工具实现反编译-编译-签名全过程
manmanbab的博客
01-04 3504
利用APKTool进行反编译,修改minSdkVersion,实现在旧手机上的安装。
apktool使用
天行++的JAVA空间
04-18 1196
Dalvik虚拟机和Jvm一样,也有自己的一套指令集,类似汇编语言,但是比汇编简单许多,只要你会java,了解android的相关知识,就可以轻松的看懂,如果得到这些汇编文件呢,利用apktool或者dex2jar工具包(网上很多),反编译classes.dex文件,就可以得到以smali为后缀的文件,这些smali文件就是Dalvik的寄存器语言。此外,可以修改smail文件后用apktool工具来重新打包,这样子避免了开发过程中一些小改动导致重新修改、编译以及打包的情况。
Android-apktool-就从此处开始反编译之旅
浅浅同学的开发笔记
01-09 4万+
前言一直听说过反编译,感觉很高大上,一直没自己用过,今天因缘巧合之下,终于要开始逐渐认识,了解和学习一下反编译了~先给自己说下加油,鼓励一下下apktool的下载和安装apktool下载地址: Apktool [![Join the chat athttps://gitter.im/iBotPeaches/Apktool]apktool安装教程: 这个是上面网站上给出的安装使用文档: Apkt
Android逆向之反编译工具Apktool使用教程
工宗浩生财指南针
05-21 4774
现在,我们已经准备好安装 Apktool 了。Apktool 是一款非常实用的 Android 应用程序反编译和二次打包工具,可以方便地对 APK 文件进行反编译获取 AndroidManifest.xml 文件、资源文件以及相关文件,再重新打包成 apk 文件。等待一段时间,Apktool 就会反编译 APK 文件,并自动生成一个名为``的文件夹,该文件夹包含了反编译后的 APK 文件的 AndroidManifest.xml 文件、资源文件以及相关文件等。
【Android 逆向】ApkTool 工具使用 ( ApkTool 简介 | ApkTool 解包和打包 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
10-29 4万+
前言、 一、ApkTool 简介、 二、ApkTool 解包和打包、 1、使用 apktool 解包、 2、使用 apktool 打包、
使用apktool解压缩apk并重新打包
fb_fatboy的博客
03-13 2779
最近项目中遇到了反编译相关的问题,所以就了解了一下apktool
apktool,dex2jar,auto-sign,jd-gui
11-16
APKTool、dex2jar、auto-sign和JD-GUI是四种常用的Android应用反编译和查看工具。 APKTool是一种用于反编译和重新打包APK文件的工具。通过APKTool,我们可以将一个APK文件解压成smali代码文件和资源文件,然后可以对其中的代码进行修改和分析,最后再重新打包成新的APK文件。 dex2jar是一种将Android应用的DEX文件转换为可被Java反编译工具读取的JAR文件的工具。DEX是Dalvik虚拟机的字节码格式,而JAR是Java虚拟机的字节码格式。使用dex2jar,我们可以将DEX文件转换为JAR文件,然后使用Java反编译工具查看和分析其中的代码。 auto-sign是一种自动签名APK文件的工具。在开发和发布Android应用时,APK文件需经过签名才能在设备上安装和运行。auto-sign可以自动化这个签名过程,省去手动签名的步骤,提高工作效率。 JD-GUI是一种Java反编译工具,它可以读取并展示JAR文件中的Java代码。通过JD-GUI,我们可以反编译JAR文件,然后查看和分析其中的代码。这对于分析第三方库或者查看其他人开发的程序时特别有用。 综上所述,APKTool、dex2jar、auto-sign和JD-GUI都是在Android应用开发、分析和调试过程中非常有用的工具,它们可以让开发者更方便地反编译APK分析代码和进行调试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值