Android Bound Service攻击

0x00 引子

去年12月,[1] 讲述了针对android bound service的攻击方法,给出了从apk包中恢复AIDL文件的工具,利用AIDL便可以编写攻击Bound Service的Client。拜这篇文章所赐,笔者也在实际测试工作中发现了类似漏洞,其中的过程却有些曲折。作为白帽子,通常情况下很难直接得到或者恢复AIDL文件,这决定了Bound Service的易守难攻,因此需要更加系统地掌握Bound Sercive的测试方法,并辅以耐心和一定的运气,才能发现类似的漏洞。在[1]的基础上,本文将分享此类漏洞的经验,进一步对Bound Service攻击进行说明。

阅读全文

ES文件浏览器组件暴露导致远程命令执行

作者:小荷才露尖尖角

###漏洞简介

ES文件浏览器安卓版开放某端口,正常情况下该端口有访问IP地址的限制。然而结合本地某漏洞的利用,可突破限制,访问该端口获得远程命令执行机会,查看手机的文件列表、图片列表、视频列表、安装app列表,并可启动任意应用,远程下载外部存储和ES文件浏览器私有目录下的文件。

阅读全文

iOS客户端hack的两种姿势

iOS客户端hack的两种姿势

分析某商城漏洞,在漏洞验证时采用了两种iOS上的hack工具:cycript和reveal,各有风情,均能攻城拔寨,实乃我辈日常居家、杀人越货之利刃,现与诸君共享之。

阅读全文

glibc堆溢出学习笔记(兼2015强网杯shellman writeup)

0x01 glibc堆管理机制

1、Arena、heap与chunk概述
Arena是包含堆heap的一块相对独立的内存区域。对于linux下的多线程程序,每个线程可以有不同的Arena,包括Main Arena和Thread Arena。

阅读全文

实战Drozer模块编写

作者: thor

简介

drozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。drozer提供了命令行交互式界面,使用drozer进行安全测试,用户在自己的console端输入命令,drozer会将命令发送到Android设备上的drozer agent代理程序执行。drozer采用了模块化的设计,用户可以定制开发需要的测试模块。编写drozer模块主要涉及python模块及dex模块。python模块在drozer console端运行,类似于metasploit中的插件,可以扩展drozer console的测试功能。dex模块是java编写的android代码,类似于android的dex插件,在android手机上运行,用于扩展drozer agent的功能。

阅读全文

浅谈Android开放网络端口的安全风险

本文曾发表于乌云知识库,链接地址http://www.ms509.com/2015/07/12/android-open-port/

阅读全文

CVE-2014-7911安卓序列化漏洞分析

本文地址:http://www.ms509.com/2015/05/25/cve-2014-7911/

第一部分 漏洞分析详解

0x00 简介

CVE-2014-7911是由Jann Horn发现的一个有关安卓的提权漏洞,该漏洞允许恶意应用从普通应用权限提权到system用户执行命令,漏洞信息与POC见[1]。漏洞的成因源于在安卓系统(<5.0)中,java.io.ObjectInputStream并未校验输入的java对象是否是实际可序列化的。攻击者因此可以构建一个不可序列化的java对象实例,恶意构建其成员变量,当该对象实例被ObjectInputStream反序列化时,将发生类型混淆,对象的Field被视为由本地代码处理的指针,使攻击者获得控制权。

阅读全文