Tasfa's World!

0x01 前言

Pwn2Own华为HiApp漏洞原理与利用分析(上)

阅读本篇的基础是先理解上篇的攻击构造链路。

0x02 漏洞分析

不知道有没有细心的同学发现我在上篇分析文章中留下的彩蛋。
本篇自然是从这个彩蛋切入.

0x01 简介

ps:本文从攻击者的角度来分析如何发现Pwn2Own华为手机漏洞，但不代表与漏洞发现者的思路相同，仅供参考。本系列漏洞分析由于涉及大量代码分析，所以拆分为四部分，也比较容易阅读和理解消化。

攻击视频详细可参见Pwn2own Blog

官方公告: http://www.huawei.com/en/psirt/security-advisories/huawei-sa-20171120-01-hwreader-en

漏洞可直接造成任意目录遍历、删除、任意代码执行等高危操作

整体界面

File , Edit , Jump , Search , View , Debugger , Options , Windows , Help 9个Tab菜单

• 1.File 文件操作相关、脚本操作相关、snapshot相关操作
• 2.Edit 功能比较多，主要涉及修改查询注释等
• 3.Jump 是用来跳转的，可以有很多种类型的跳转，比如跳转到上一个位置或者下一个位置，跳转到某个指定的地址。还可以根据名字，函数来进行跳转，跳转到一个新的窗口，跳转某一个偏移量等等
• 4.Serach 搜索相关操作
• 5.View 是用来选择显示方式的，或者显示某一特定模块信息的。比如以树形逻辑图显示，或者16进制形式显示。还可以单独显示某一特定信息，比如输入或者输出表等。
• 6.Debugger 动态调试
• 7.Options 在这里可以进行一下常规性的设置
• 8.Windows 窗口相关的一些操作
• 9.Help 使用IDA的一些帮助文档，检查更新等等。

JEB使用

整体界面:

概述

此Post讲述如何利用Frida主动调用Java函数以及Native函数。

• Context获取
• 类新构造
• Native指针构造
• …

0x01 背景

adb由于拥有shell权限，因此仅在授权PC端后才可使用shell权限，而通过该漏洞，可以实现在移动端获取shell权限，以致于可随意删除应用、屏幕截图等等高权限操作。不过移动端恶意应用程序必须能够连接到adbd正在监听的TCP端口，这就需要应用程序在它的AndroidMainifest.xml中定义INTERNET权限。

而漏洞作者所用的攻击方法是构造一个覆盖窗口，劫持用户点击，也就是经典的hijack攻击。Google也据此修复了此种攻击方式。

但是，我经过尝试后发现，除了以上构造hijack攻击窗口外，还可以劫持USB广播，然后在用户进行正常的连接电脑操作时，劫持授权界面，使用户误导从而进行授权。也即造成新的劫持授权漏洞方案。

0x00 简述

最近FB Android应用爆出了一个任意JS代码执行的漏洞,着手分析了一下，也挺有趣，分享学习一下,有不当之处还请包涵，欢迎讨论学习。

测试环境:Android

测试版本:Facebook

测试版本下载: 9Apps

ps：FreeBuf Style Title: 看我如何挖到价值$8500的Facebook漏洞 ：）

0x01 漏洞原理

根据漏洞的简单描述,得知漏洞起因依旧是deeplink的问题,如果对这方面知识不熟悉，可以参考我的其他文章。

0x00 简介

前言:去年比较严重的洞,以比较浅显的方式学习记录一下，网上有很多其他深度分析文章，也可借鉴学习。

Janus签名漏洞可以让攻击者绕过安卓系统的signature scheme V1签名机制，进而直接对App进行篡改。而且由于安卓系统的其他安全机制也是建立在签名和校验基础之上，该漏洞相当于绕过了安卓系统的整个安全机制。

• 公告详情:
  
• 影响: 利用该漏洞的攻击者可注入恶意代码直接修改app而不影响其原始签名,即修改后仍是官方签名
• 影响范围: Android 5.0-8.0且使用Signaturescheme V1签名的APK文件,不影响Signaturescheme V2
• 自测: adb shell dumpsys package pkgName | grep apkSigningVersion

0x01 前言

这部分漏洞分析属于之前MWR InfoSecurity的研究员报告中的第三部分,同样该报告仅有漏洞的简单描述，具体的PoC也未详细给出.

因此本文的目的依旧是去探索漏洞挖掘的思路,以下不代表漏洞作者思路,欢迎更好的想法,欢迎讨论。

ps: 附上2017 pwn2own mobile视频

视频需梯子

作者: heeeeen

本文系转载，目的是学习，如有侵权，请联系删除

转载出处:http://www.ms509.com/

蓝牙App漏洞系列分析之一CVE-2017-0601

0x01 概要

2017年5月的Android安全公告修复了我们提交的一个蓝牙提权中危漏洞，这个漏洞尽管简单，但比较有意思，能够使本地恶意App绕过用户交互，使用户强制接收外部传入的蓝牙文件。漏洞概要如下：

CVE: CVE-2017-0601
BugID: A-35258579
严重性: 中
影响的Google设备: All
Updated AOSP versions: 7.0, 7.1.1, 7.1.2

0x02 漏洞分析

蓝牙App暴露了一个广播接收器com.android.bluetooth.opp.BluetoothOppReceiver，本地普通App可以向这个Receiver发送广播，查看其OnReceive方法，包含了对多种传入广播Intent Action的处理，但是大多数Intent Action处于保护状态，简单用adb shell可以一一对其测试，比如