安卓pwn - De1taCTF(BroadcastTest)

最新推荐文章于 2022-05-22 19:49:13 发布
最新推荐文章于 2022-05-22 19:49:13 发布
阅读量2.8w 收藏 2
点赞数 3
分类专栏: pwn Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/105929885
版权
本文详细剖析了安卓BroadcastTest的漏洞利用过程。通过分析Parcelable接口的序列化和反序列化,发现类型不一致可能导致的安全问题。在题目中,通过构造特定的payload,影响Bundle的序列化顺序,从而在Receiver中插入新的键值对"command=getflag",达到触发目标条件的目的。然而,由于ArrayMap的序列化特性,payload的构造需精确计算,避免因字符串补0导致的序列化顺序变化,最终通过爆破找到合适的关键键值对。
摘要由CSDN通过智能技术生成

BroadcastTest

背景

逆向APK可知程序中仅有MainActivity$Message和三个Receiver类。
前者实现了一个Parcelable类,后三个则是广播。
其中Receiver1是exported的,接收并向Receiver2发送广播,Receiver2和3则非exported,只能接收内部发送的广播。
功能为Receiver1接收base64传入的data,然后将其反序列化得到一个Bundle,再广播给Receiver2。
Receiver2检查Bundle中“command”存在且值非"getflag",然后再次发送广播给Receiver3。
Receiver3检查Bundle中"command"存在且值为"getflag",通过则回显正确。

简单搜索可以找到这篇文章,描述了Parcel中对于读出和写入时类型不一致会产生的漏洞。

原理

Android提供了独有的Parcelable接口来实现序列化的方法,只要实现这个接口,一个类的对象就可以实现序列化并可以通过Intent或Binder传输。
其中,关键的writeToParcel和readFromParcel方法,分别调用Parcel类中的一系列write方法和read方法实现序列化和反序列化。
可序列化的Parcelable对象一般不单独进行序列化传输,需要通过Bundle对象携带。 Bundle的内部实现实际是Hashmap,以Key-Value键值对的形式存储数据。例如, Android中进程间通信频繁使用的Intent对象中可携带一个Bundle对象,利用putExtra(key, value)方法,可以往Intent的Bundle对象中添加键值对(Key Value)。Key为String类型,而Value则可以为各种数据类型,包括int、Boolean、String和Parcelable对象等等,Parcel类中维护着这些类型信息。

// Keep in sync with frameworks/native/include/private/binder/ParcelValTypes.h.
    private static final int VAL_NULL = -1;
    private static final int VAL_STRING = 0;
    private static final int VAL_INTEGER = 1;
    private static final int VAL_MAP = 2;
    private static final int VAL_BUNDLE = 3;
    private static final int VAL_PARCELABLE = 4;
    private static final int VAL_SHORT = 5;
    private static final int VAL_LONG = 6;
    private static final int VAL_FLOAT = 7;

对Bundle进行序列化时,依次写入携带所有数据的长度、Bundle魔数(0x4C444E42)和键值对。见BaseBundle.writeToParcelInner方法

int lengthPos = parcel.dataPosition();
parcel.writeInt(-1); // dummy, will hold length
parcel.writeInt(BUNDLE_MAGIC);
int startPos = parcel.dataPosition();
parcel.writeArrayMapInternal(map);
int endPos = parcel.dataPosition();
// Backpatch length
parcel.setDataPosition(lengthPos);
int length = endPos - startPos;
parcel.writeInt(length);
parcel.setDataPosition(endPos);

pacel.writeArrayMapInternal方法写入键值对,先写入Hashmap的个数,然后依次写入键和值

/**
   * Flatten an ArrayMap into the parcel at the current dataPosition(),
   * growing dataCapacity() if needed.  The Map keys must be String objects.
   */
  /* package */ void writeArrayMapInternal(ArrayMap<String, Object> val) {
   
...
      final int N = val.size();
      writeInt(N);
     ... 
      int startPos;
      for
最低0.47元/天 解锁文章
奈沙夜影
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ByteCTF 2020 pwnandroid
seaaseesa的博客
10-27 1376
pwndroid 一个安卓端程序,native层是简单的菜单程序,其中edit功能没有检查长度,可以溢出,并且没有使用\0截断字符串,在show的时候可以泄露后续的数据 难点在于如何进行交互,程序注册了JSBridge用于与js进行交互,其中该接口对象在js中的对象名为_jsbridge 该对象有一个call函数 因此,在javascript里,可以使用javascript:_jsbridge.call设置好参数后就能调用到对应的函数。 溢出漏洞利用,覆盖函数指针为system,执行n
Android集合之SparseArrayArrayMap详解
qq_32671919的博客
11-24 789
前言 作为一个Anndroid开发人员来说,我们大多数情况下时使用的Java语言,自然在一些数据的处理时,使用到的集合框架也是Java的,比如HashMapHashSet等,但是你可否知道,Android因为自身特殊的需求,也为自己量身定制了“专属”的集合类,查阅官方文档,android.util包下,一共捕获如下几个类:SparseArray系列(SparseArray,SparseBool...
Android ArrayMap源码详解
数据结构和算法
06-16 1万+
尊重原创,转载请标明出处    http://blog.csdn.net/abcdef314159 分析源码之前先来介绍一下ArrayMap的存储结构,ArrayMap数据的存储不同于HashMap和SparseArray,在上一篇《Android SparseArray源码详解》中我们讲到SparseArray是以纯数组的形式存储的,一个数组存储的是key值一个数组存储的是value值,今天我
ArrayMap 笔记整理
一个有思想的搬运工
05-04 2506
源码基于 API 25 主要参考文章:面试必备:ArrayMap源码解析 1、概述 截图自:面试必备:ArrayMap源码解析 在开始讲解源码之前,需要说明 ArrayMap 的底层实现结构,即两个数组: int[] mHashes; // 用于存储 key 对应的 hash 值 Object[] mArray; // 根据映射规则,用于存储 key 和 value 其中,mHashes ...
Android特有的数据结构SparseArray,ArrayMap
qq_37704124的博客
05-06 919
Android特有的数据结构有 ArrayMap ArraySet SparseArray 首先来看SparseArray, 该类的官方说明:(自己更改了些) SparseArray是类型的Map,比HashMap<Integers, Object>的内存效率更高,因为避免了对int的封装,并且不依赖于Entry结构。 SparseArrayHashMap更省内存,它对数据采取了...
Android中HashMap内存优化之ArrayMap和SparseArray
TuGeLe的博客
11-24 1246
ArrayMap及SparseArray是android的系统API,是专门为移动设备而定制的。用于在一定情况下取代HashMap而达到节省内存的目的。 在Android开发中HashMap使用频率相当高,回顾一下HashMap的结构,其是以array存储链表的头结点,找到头结点后在进行遍历查找,如下图: 时间效率方面,利用hash算法,插入和查找等操作都很快,
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
在2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 ...
逆向工程入门
热门推荐
:-)
10-24 1万+
逆向工程 REVERES 1.逆向工程简介及发展方向 软件逆向工程是一种探究应用程序内部组成结构及工作原理的技 术. 运用逆向分析技术, 窥探程序内部结构, 掌握其工作原理. – 《逆向工程核心原理》 逆向工程,顾名思义,将已经完成的程序经行反编译以找到其内部隐藏细节的过程,我们将其称之为逆向工程 第一步,我们将通过各种信息收集工具,对要进行逆向分析的程序进行信息处理 第二步,我们将存在保护的目标程序经行去加密,并且备份其源文件 第三步,将目标程序拖入静态分析或动态调试软件中经行处理(代码审计或debug)
android逆向基础教程四
PwnGuo的博客
05-22 439
前面文章我们学习了app逆向工具的简单实用,以及基础的逆向尝试,对我们接下来的android 逆向中基础知识的一个铺垫,而本章我们开始通过前面的铺垫正式开始在实战环境以及具体的商业行为中 ...
PWNctf的pwn题解析
Peanuts
11-08 8613
  importantservice 这个题目比较简单,保护开的很多多到我怀疑自己是不是把题目想的太简单了,结果果然是这么简单的。。 程序功能分析 main函数分析 main函数的功能并不复杂,开头一个dologic函数对v5这个指针进行一个赋值,然后接着让你输入两个数字,是身高和体重,会有一个check乘积不能大(可能怕你太不匀称
ArrayMap源码注释
FearlessBear的博客
07-18 200
ArrayMap源码详解 本文的分析基于Android SDK 6.0源码进行,通过对ArrapMap的源码的分析,了解它的使用和特点。代码中保留了原有的英文注释,并增加了自己学习过程中添加的中文注释。 package android.util; import libcore.util.EmptyArray; import java.util.Collection; import java.util.Map; import java.util.Set; /** * ArrayMap is a gen
Android安全[测试环境&vuln-demo&pwn]
0x00的博客
08-26 1150
System : ubuntu 14.04 LTS python3.0--scikit-learn安装: # lapack是跟线性代数有关的工具包,安装相关库  sudo apt-get -y install python3-dev python3 python3-pip liblapack-dev libblas-dev python3-scipy python3-numpy python...
阿里聚安全攻防挑战赛第三题Android PwnMe解题思路
weixin_34297704的博客
01-09 195
阿里聚安全攻防挑战赛第三题Android PwnMe解题思路 大家在聚安全挑战赛正式赛第三题中,遇到android app 远程控制的题目。我们今天带你一探究竟,如何攻破这道题目。 一、题目 购物应用pwn (6分) 环境: 要求在ARM 64位Android手机上攻击成功,也可在模拟器(运行Google官方Android SDK提供的Google APIs ARM64 Android 7.0镜...
记第一个动手跟的ctf pwn程序
Yannie's Blog
12-06 1104
我是跟着教程 https://www.bilibili.com/video/av14824239?from=search&amp;amp;amp;amp;seid=14623454945684351685 来做的 程序地址:http://pan.baidu.com/s/1qYFjBlU 密码:j32w 拿到程序,我们先file static分析一下程序: 关注点为 32位ELF,动态链接 接着我们要用checksec...
android逆向基础教程一
PwnGuo的博客
12-03 5219
工具 :Jadx AndroidKiller frida 熟练使用jadx ,Androidkiller frida,了解android逆向流程分析,熟悉Smali汇编以及Frida脚本编写,通过Jadx 流程分析android 中逻辑代码。AndroidKiller修改Smali汇编方式修改执行流程重新打包绕过某些逻辑条件判断,frida hook在逆向中占有重要地位,熟练掌握frida hook基础知识是逆向必不可少的内容。 一、loginActivity 流程分析 解题 方法一:逻辑算.
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值