一、漏洞介绍
1 |
APP升级劫持漏洞是最常见的通用型逻辑缺陷漏洞,攻击者一般通过劫持APP升级的响应,通过伪造和篡改的方式来实现中间人攻击,从而向应用中注入恶意程序 |
二、原理解析
1 |
中间人攻击(MITM)是指攻击者与通讯的两端分别独立的联系,并交换其所收到的数据,使得通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都会被攻击者完全控制 |
客户端不验证服务器是否可信,即checkServerTrusted()方法为空
1 |
@Override |
不检查站点域名与站点证书的域名是否匹配
1 |
HostnameVerifier hv = new HostnameVerifier(){ |
接收任意域名
1 |
SSLSocketFactory sf; |
二、实验准备
1 |
Fiddler |
三、实验步骤
1. http明文传输升级劫持——以酷我音乐为例(CNVD-2021-45684)
(1)Fiddler环境配置
参考链接:Fiddler环境配置
(2)安装酷我音乐,并抓取响应请求
然后,我们可以发现程序下载完成后,显示正常的升级界面
我们进一步分析报文的详细信息:
我们可以知道这条请求就是程序的下载请求,对应的就是下载的apk,我们尝试劫持这条请求,将apk替换成我们的恶意锁机程序
(3)劫持攻击
1)下劫持响应请求断点,可以让我们在劫持特定的请求响应
1 |
这里我总结集中常见的指令: |
2)通过HFS文件管理服务器,来模拟请求的服务器
注意路径应与apk下载请求url保持一致,域名设置为我们本机的ip地址
3)重新安装,开始升级
此时,我们将下载请求给劫持下来了,我们只需要更改域名为我们ip地址,再响应就可以下载我们的锁机程序了
此时我们发现我们的锁机样本被用户成功的下载,用户在未知情况下打开,便被锁机了
2. http+hash验证升级劫持——以酷狗音乐为例(CVND-2021-46587)
(1) 安装酷狗音乐,抓取响应请求
1 |
我们可以发现响应的结果中包含hash值,下载的链接,我们只需要将此响应的hash值替换成我们恶意应用的hash值,然后将下载的url劫持为我们本地的即可 |
(2)劫持升级
我们用文件服务器模拟该url:
我们将主机的域名解析更改为我们本地的ip:
我们查取我们恶意程序的hash值:
我们劫持更新响应的url:
开始升级替换:
我们成功替换hash值,并点击升级:
3. https+hash验证升级劫持——以学而思网课为例(CVND-2021-169938)
(1)配置stunnel,实现https下载
1 |
由于我们的HFS文件服务器只能支持http访问,但是对于当下市面上大多是https传输,所以我们可以结合stunnel+HFS实现https访问下载 |
stunnel配置:详细见stunnel配置
(2)我们劫持请求报文
我们将响应的报文保存下来,并修改其对应的MD5值
(3) 我们用HFS模拟下载的URL链接
(4) 由于是采用https传输,我们需要借助工具stunnel,才能实现https传输
我们配置好后,就可以https访问了
(5)我们进行截获
重新启动,我们发现可以升级截获成功
四、实验总结
我们总结了当下APP升级劫持攻击的常见形式,并分别对三种不同形式的升级劫持攻击做了一个具体的案例描述,可以发现都是通过抓包劫持替换实现的,恶意攻击者可以在用户手机中安装证书,就可以使用http/https中间人攻击,来劫持升级报文。我们可以发现当下大部分主流的APP都存在这种漏洞,并以此对提交的三个漏洞做了一个讲解,对于一些其他的APP,通常采用加密算法加密,这样获取报文的情况较难。
- source:security-kitchen.com
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论