关于AndroidZIP文件目录遍历漏洞,你了解多少?

原创 橙留香Park 2022-09-24 02:00

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大

少走了弯路,也就错过了风景,无论如何,感谢经历


本篇文章遇到排版混乱的地方,可点击文末阅读原文或前往该地址:https://orangey.blog.csdn.net/article/details/126240864

更多关于Android安全的知识,可前往:https://blog.csdn.net/ananasorangey/category11955914.html


0x01 前言

zip 类型的压缩包文件中允许存在 ../ 类型的字符串,用于表示上一层级的目录。攻击者可以利用这一特性,通过精心构造 zip 文件,利用多个 ../从而改变 zip 包中某个文件的存放位置,达到替换掉原有文件的目的

那么,如果被替换掉的文件是是 .so、.dex或 .odex类型文件,那么攻击者就可以轻易更改原有的代码逻辑,轻则产生本地拒绝服务漏洞,影响应用的可用性,重则可能造成任意代码执行漏洞,危害用户的设备安全和信息安全。比如寄生兽漏洞、海豚浏览器远程命令执行漏洞和三星默认输入法远程代码执行等著名的安全事件

  • 漏洞原理

在linux系统中,../代表切换到上一级目录,有些程序在当前工作目录中处理到诸如../../../../../../../../../../../etc/hosts表示的文件,会跳转出当前工作目录,跳转到到其他目录中对应的hosts目录

Java代码在解压zip文件时,会使用ZipEntry类的getName()方法,获取文件的名称,如果 zip 文件中包含../字符串,该方法的返回值里面会原样返回,如果没有过滤掉 getName() 返回值中的../字符串,继续解压缩操作,就会在其他目录中创建解压的文件

因为ZipEntry在进行压缩文件的时候,名称没有做任何限制,而在Android系统中../这种特殊符号代表的是回到上层目录,又因为这个解压工作在本应用中,可以借助app的自生权限,把恶意文件名改成:../../../data/data/...即可在解压的时候把文件解压到了应用的沙盒中

一些示例的zip包样本:

  • https://github.com/snyk/zip-slip-vulnerability

  • https://www.apkhere.com/app/com.dolphin.browser.express.web

0x02 vuls APP ZIP文件目录遍历【漏洞复现】

:Android6.0 已经打了补丁,在进行解压的时候对../这种情况进行了过滤,这样就导致不能进行成功的穿越,所以我们用低版本Android系统复现学习

vuls样本下载:https://github.com/AndroidAppSec/vuls/releases/tag/v4.3

ZipEntry关键 API

  • java.util.zip.ZipEntry#getName()

/**
* Returns the name of the entry.
* @return the name of the entry
*/


public String getName() { return name; }

  • java.util.zip.ZipInputStream#getNextEntry()

/**
* Reads the next ZIP file entry and positions the stream at the
* beginning of the entry data.
* @return the next ZIP file entry, or null if there are no more entries
*/


public ZipEntry getNextEntry()

private void zipperDown(){
String url = "http://www.example.com/test.zip";
OkHttpClient okHttpClient = new OkHttpClient();
final Request request = new Request.Builder().url(url).get().build();
Call call = okHttpClient.newCall(request);
call.enqueue(new Callback() {
@Override
public void onFailure(Call call, IOException e) {
Log.e("zipperDown", "zipperDown fail");
}

@Override
public void onResponse(Call call, Response response) throws IOException {
Log.e("zipperDown", response.body().bytes().length + "");
String dstPath = getCacheDir().toString();
ZipEntry zipEntry = null;
ZipInputStream zipInputStream = new ZipInputStream(response.body().byteStream());
while ((zipEntry = zipInputStream.getNextEntry()) != null){
//调用zipEntry的getName方法没有检查是否包含"../"
String entryName = zipEntry.getName();
if (zipEntry.isDirectory()){
// 创建文件夹
entryName = entryName.substring(0, entryName.length() -1);
File folder = new File(dstPath + File.separator + entryName);
folder.mkdirs();
}else {
// 尝试解压zip entry到指定路径
String fileName = dstPath + File.separator + entryName;
Log.e("zipperDown", fileName);
File file = new File(fileName);
file.createNewFile();
FileOutputStream fileOutputStream = new FileOutputStream(file);
byte[] buffer = new byte[1024];
int n = 0;
while ((n = zipInputStream.read(buffer, 0 , 1024)) != -1){
fileOutputStream.write(buffer, 0 , n);
}
fileOutputStream.flush();
fileOutputStream.close();
}
}
zipInputStream.close();
}
});

}

在上图红色标记的代码中,直接将获取的压缩文件中的文件名进行拼接,没有对路径中是否包含 ../或者 ..字符就做过滤判断,即:文件名称不能包含"../"这种特殊字符做处理。正常情况下,zip 文件中文件名为 og_test_zip.txt,会被下载到 /data/data/ddns.android.vuls/cache/og_test_zip.txt【如下图】。如果攻击者构造一个 ../files/og_test_zip.txt的文件名,则拼接后的文件名为 /data/data/ddns.android.vuls/cache/../files/og_test_zip.txt,其会下载到vuls APP应用本地的/files/目录下,当然如果是想做覆盖本地文件的话,只要取相同名字即可覆盖

构建一个zip poc文件,步骤如下:

  • 创建一个og_test_zip.txt,内容为Orangey test zip poc!

  • 将 og_test_zip.txt 压缩为 og_test_zip.zip

  • 切记,别用winrar打开来修改文件名,反正用winrar打开来修改文件名不行,这里,我们使用 7-Zip 打开文件并修改文件名

    • 为什么要借用压缩包根据来修改,大家看下图:

 

  • 攻击效果如下

  • 默认抓包host域名或GET 请求地址为:p://www.example.com/test.zip,两种修改方法

第一种:直接通过抓包工具,进行修改请求的host和路径地址为我们自己的,其实抓包工具就是做了一个中间人攻击的角色

Burp配置一下默认的host和端口,当然也可以自行抓到包后自行修改

  

第二种:反编译APK为smali,然后修改对应的smali文件中请求的地址

# 反编译APK
apktool.jar d -f vuls_v4.4.apk -o vuls_v4.4

# 修改好后回编译APK并签名以及丢到模拟器中运行
java -jar apktool.jar b vuls_v4.4 -o vuls_v4.4-key.apk

java -jar signapk.jar testkey.x509.pem testkey.pk8 vuls_v4.4-key.apk vuls_v4.4-key_debug.apk

如果应用动态加载代码之前未做签名校验,利用目录穿越漏洞进行覆盖,可实现稳定的任意代码执行。此外由于在文件系统中写入了可执行文件,还可以实现持久化攻击的效果

在Android中,System.loadLibrary()是从应用的lib目录中加载 .so文件,而System.load()是用某个.so文件的绝对路径加载,这个.so文件可以不在应用的lib目录中,可以在SD卡中,或者在应用的files目录中,只要应用有读的权限目录中即可

在files目录中,应用具有写入权限,利用ZIP文件目录遍历漏洞可以替换掉原先的so文件,达到远程命令执行的目的。而应用的lib目录是软链接到了/data/app-lib/应用目录,属于system用户,第三方应用在执行时没有写入/data/app-lib目录的权限

0x03 海豚浏览器ZIP文件目录遍历【漏洞复现】

样本下载地址:https://www.apkhere.com/down/com.dolphin.browser.express.web_11.4.18_free

现在知道了一个应用的沙盒数据的详细信息,比如一些隐私数据存放在SharedPreferences.xml中,那么这时候我们可以利用这个漏洞,把恶意文件命名成 ../../../../data/data/xxx.xxx.xxx/shared_pref/info.xml,这样在使用ZipEntry进行解压文件的时候,因为直接使用了ZipEntry.getName方法或者文件名,然后直接释放解压到本地了,所以这时候就相当于替换了本应用的沙盒数据了,这个也是利用了app本身的权限来写入沙盒数据

海豚浏览器海豚浏览器的主题设置中允许用户通过网络下载新的主题进行更换,如下:

dwp 文件是海豚浏览器自己定义的主题文件包,本质上是一个 zip 包,里面有如下三个资源文件:

GET http://opsen-static.dolphin-browser.com/resources/atheme/110010060sea_1498465941.dwp HTTP/1.1

tar -tf 110010060sea_1498465941.dwp

或使用7z压缩工具的命令

7z l 110010060sea_1498465941.dwp

那么,如何实现zip目录穿越了,是不是可以尝试去构建一个这样的zip包,去替换浏览器的下载包,并重命令去文件名,使得替换浏览器中的关键文件

由于海豚浏览器并未对解压的文件进行验证,且安卓系统zip库的默认行为是允许解压文件到所在目录之外,因此通过中间人攻击,修改HTTP请求返回主题文件zip包中的内容,可以实现在海豚浏览器拥有权限的目录写文件

使用如下 Python 代码生成一个可以触发该漏洞的 zip 包:

# -*- coding: utf-8 -*-

import zipfile
import sys

if __name__ == "__main__":
try:
with open("og_test_zip.txt", 'rb') as f:
binary = f.read()
zipFile = zipfile.ZipFile("og_test_zip.zip", "a", zipfile.ZIP_DEFLATED)
info = zipfile.ZipInfo("og_test_zip.zip")
zipFile.writestr("../../../../../data/data/com.dolphin.browser.express.web/files/og_test_zip.txt", binary)
zipFile.close()
except IOError as e:
raise e

 

从上我们已知,海豚浏览器的主题设置中允许用户通过网络下载新的主题进行更换,主题文件其实是一个ZIP压缩文件。通过中间人攻击的方法可以替换掉这个ZIP文件。替换后的ZIP文件中有重新编译过的libdolphin.so。此so文件重写了JNI_OnLoad()函数,此so文件以“../../../../../data/data/com.dolphin.browser.express.web/files/libdolphin.so”的形式存在恶意ZIP文件中。海豚浏览器解压恶意ZIP文件后,重新的libdolphin.so就会覆盖掉原有的so文件

动态链接库文件libdolphin.so,并没有放在应用数据的lib目录下,而是放在了files目录中,导致存在被覆盖的风险。

加载使用的地方是com.dolphin.browser.search.redirect包中的SearchRedirector:

使用的是System.load()来加载libdolphin.so而非System.loadLibrary(),在Android中,System.loadLibrary()是从应用的lib目录中加载.so文件,而System.load()是用某个.so文件的绝对路径加载,这个.so文件可以不在应用的lib目录中,可以在SD卡中,或者在应用的files目录中,只要应用有读的权限目录中即可。

在files目录中,应用具有写入权限,通过网络中间人攻击,同时利用ZIP文件目录遍历漏洞,替换掉文件libdolphin.so,达到远程命令执行的目的

应用的lib目录是软链接到了/data/app-lib/应用目录,如果libdolphin.so文件在lib目录下就不会被覆盖了,第三方应用在执行时没有写入/data/app-lib目录的权限:

0x04 修复建议

  • 使用 https 并且对证书进行正确校验,防止中间人攻击,可以在一定程度上增加攻击难度

  • 对重要的ZIP压缩包文件进行数字签名校验,校验通过才进行解压

  • 当App中使用zipInputStream类对zip压缩包进行解压操作时,在zipEntry.getName()获取文件名后,必须添加过滤代码对文件名中可能包含的“../”进行,要注意ZipEntry.getName()对于Zip包中有“..%2F”的文件路径不会进行处理

  • 检查 zip 压缩包中在调用getName()方法之后,判断路径中是否包含 ../或者 ..字符。如果有包含 ../或者 ..字符就做过滤判断,即:文件名称不能包含"../"这种特殊字符,检查”../”的时候不必进行URI Decode(以防通过URI编码”..%2F”来进行绕过)

while(( zipEntry = zipInputStream.getNextEntry()) != null ){
String entryName = zipEntry.getName();
if(entryName.contains("../")){
continue;
// 或者
// throw new Exception("发现不安全的zip文件解压路径!")
}
...
}

  • 在调用ZipEntry.getName()方法之后,调用File的getCanonicalPath()方法,获取绝对路径,要判断该路径是否在要解压目录的子目录

  • 对重要的 zip 压缩包文件进行数字签名校验,校验通过才进行解压

  • 更换 zip 解压方式,不使用 ZipEntry.getName()的方式,使用 ZipInputStream 替代

  • Google 建议的修复方案:

InputStream is = new InputStream(untrustedFileName);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(is));
while((ZipEntry ze = zis.getNextEntry()) != null) {
File f = new File(DIR, ze.getName());
String canonicalPath = f.getCanonicalPath();
if (!canonicalPath.startsWith(DIR)) {
// SecurityException
}
// Finish unzipping…
}

参考链接

https://blog.csdn.net/u010889616/article/details/80955250

https://mp.weixin.qq.com/s/2sQcsKVIXlz2v8u-AQ5Uqw

https://www.jianshu.com/p/f4c05a436785

https://segmentfault.com/a/1190000005785252

http://blog.neargle.com/SecNewsBak/drops/海豚浏览器与水星浏览器远程代码执行漏洞详解 .html


你以为你有很多路可以选择,其实你只有一条路可以走



橙留香Park 橙留香来自一位三流剑客之乡,担任威胁猎手,脑子不会转弯,属于安全特学脑。橙留香同学[小菜鸟],定期分享从零入门车联网安全(包括基础知识储备)技术。只为你呈现有价值的信息,专注于车联网安全领域之Android终端反入侵技术研究。
评论 (0)
  •         信创产业含义的“信息技术应用创新”一词,最早公开信息见于2019年3月26日,在江苏南京召开的信息技术应用创新研讨会。本次大会主办单位为江苏省工业和信息化厅和中国电子工业标准化技术协会安全可靠工作委员会。        2019年5月16日,美国将华为列入实体清单,在未获得美国商务部许可的情况下,美国企业将无法向华为供应产品。       2019年6
    天涯书生 2025-05-11 10:41 40浏览
  • 温度传感器的工作原理依据其类型可分为以下几种主要形式:一、热电阻温度传感器利用金属或半导体材料的电阻值随温度变化的特性实现测温:l ‌金属热电阻‌(如铂电阻 Pt100、Pt1000):高温下电阻值呈线性增长,稳定性高,适用于工业精密测温。l ‌热敏电阻‌(NTC/PTC):NTC 热敏电阻阻值随温度升高而下降,PTC 则相反;灵敏度高但线性范围较窄,常用于电子设备温控。二、热电偶传感器基于‌塞贝克效应‌(Seebeck effect):两种不同
    锦正茂科技 2025-05-09 13:31 373浏览
  • 文/Leon编辑/cc孙聪颖‍《中国家族企业传承研究报告》显示,超四成“企二代” 明确表达接班意愿,展现出对家族企业延续发展的主动担当。中国研究数据服务平台(CNRDS)提供的精准数据进一步佐证:截至 2022 年,已有至少 280 家上市家族企业完成权杖交接,其中八成新任掌门人为创始人之子,凸显家族企业代际传承中 “子承父业” 的主流模式。然而,对于“企二代” 而言,接棒掌舵绝非易事。在瞬息万变的商业环境中,他们既要在白热化的市场竞争中开拓创新、引领企业突破发展瓶颈,又需应对来自父辈管理层的经
    华尔街科技眼 2025-05-06 18:17 66浏览
  • 后摄像头是长这个样子,如下图。5孔(D-,D+,5V,12V,GND),说的是连接线的个数,如下图。4LED,+12V驱动4颗LED灯珠,给摄像头补光用的,如下图。打开后盖,发现里面有透明白胶(防水)和白色硬胶(固定),用合适的工具,清理其中的胶状物。BOT层,AN3860,Panasonic Semiconductor (松下电器)制造的,Cylinder Motor Driver IC for Video Camera,如下图。TOP层,感光芯片和广角聚焦镜头组合,如下图。感光芯片,看着是玻
    liweicheng 2025-05-07 23:55 662浏览
  • 在印度与巴基斯坦的军事对峙情境下,歼10C的出色表现如同一颗投入平静湖面的巨石,激起层层涟漪,深刻印证了“质量大于数量”这一铁律。军事领域,技术优势就是决定胜负的关键钥匙。歼10C凭借先进的航电系统、强大的武器挂载能力以及卓越的机动性能,在战场上大放异彩。它能够精准捕捉目标,迅速发动攻击,以一敌多却毫不逊色。与之形成鲜明对比的是,单纯依靠数量堆砌的军事力量,在面对先进技术装备时,往往显得力不从心。这一现象绝非局限于军事范畴,在当今社会的各个领域,“质量大于数量”都已成为不可逆转的趋势。在科技行业
    curton 2025-05-11 19:09 111浏览
  • 硅二极管温度传感器是一种基于硅半导体材料特性的测温装置,其核心原理是利用硅二极管的电学参数(如正向压降或电阻)随温度变化的特性实现温度检测。以下是其工作原理、技术特点及典型应用:一、工作原理1、‌PN结温度特性‌硅二极管由PN结构成,当温度变化时,其正向电压 VF与温度呈线性负相关关系。例如,温度每升高1℃,VF约下降2 mV。2、‌电压—温度关系‌通过jing确测量正向电压的微小变化,可推算出环境温度值。部分型号(如SI410)在宽温域内(如1.4 K至475 K)仍能保持高线性度。
    锦正茂科技 2025-05-09 13:52 386浏览
  • 文/郭楚妤编辑/cc孙聪颖‍相较于一众措辞谨慎、毫无掌舵者个人风格的上市公司财报,利亚德的财报显得尤为另类。利亚德光电集团成立于1995年,是一家以LED显示、液晶显示产品设计、生产、销售及服务为主业的高新技术企业。自2016年年报起,无论业绩优劣,董事长李军每年都会在财报末尾附上一首七言打油诗,抒发其对公司当年业绩的感悟。从“三年翻番顺大势”“智能显示我第一”“披荆斩棘幸从容”等词句中,不难窥见李军的雄心壮志。2012年,利亚德(300296.SZ)在深交所创业板上市。成立以来,该公司在细分领
    华尔街科技眼 2025-05-07 19:25 550浏览
  • UNISOC Miracle Gaming奇迹手游引擎亮点:• 高帧稳帧:支持《王者荣耀》等主流手游90帧高画质模式,连续丢帧率最高降低85%;• 丝滑操控:游戏冷启动速度提升50%,《和平精英》开镜开枪操作延迟降低80%;• 极速网络:专属游戏网络引擎,使《王者荣耀》平均延迟降低80%;• 智感语音:与腾讯GVoice联合,弱网环境仍能保持清晰通话;• 超高画质:游戏画质增强、超级HDR画质、游戏超分技术,优化游戏视效。全球手游市场规模日益壮大,游戏玩家对极致体验的追求愈发苛刻。紫光展锐全新U
    紫光展锐 2025-05-07 17:07 437浏览
  • 随着智能驾驶时代到来,汽车正转变为移动计算平台。车载AI技术对存储器提出新挑战:既要高性能,又需低功耗和车规级可靠性。贞光科技代理的紫光国芯车规级LPDDR4存储器,以其卓越性能成为国产芯片产业链中的关键一环,为智能汽车提供坚实的"记忆力"支持。作为官方授权代理商,贞光科技通过专业技术团队和完善供应链,让这款国产存储器更好地服务国内汽车厂商。本文将探讨车载AI算力需求现状及贞光科技如何通过紫光国芯LPDDR4产品满足市场需求。 车载AI算力需求激增的背景与挑战智能驾驶推动算力需求爆发式
    贞光科技 2025-05-07 16:54 253浏览
  • Matter协议是一个由Amazon Alexa、Apple HomeKit、Google Home和Samsung SmartThings等全球科技巨头与CSA联盟共同制定的开放性标准,它就像一份“共生契约”,能让原本相互独立的家居生态在应用层上握手共存,同时它并非另起炉灶,而是以IP(互联网协议)为基础框架,将不同通信协议下的家居设备统一到同一套“语义规则”之下。作为应用层上的互通标准,Matter协议正在重新定义智能家居行业的运行逻辑,它不仅能向下屏蔽家居设备制造商的生态和系统,让设备、平
    华普微HOPERF 2025-05-08 11:40 511浏览
  • 飞凌嵌入式作为龙芯合作伙伴,隆重推出FET-2K0300i-S全国产自主可控工业级核心板!FET-2K0300i-S核心板基于龙芯2K0300i工业级处理器开发设计,集成1个64位LA264处理器,主频1GHz,提供高效的计算能力;支持硬件ECC;2K0300i还具备丰富的连接接口USB、SDIO、UART、SPI、CAN-FD、Ethernet、ADC等一应俱全,龙芯2K0300i支持四路CAN-FD接口,具备良好的可靠性、实时性和灵活性,可满足用户多路CAN需求。除性价比超高的国产处理器外,
    飞凌嵌入式 2025-05-07 11:54 120浏览
  • 二位半 5线数码管的驱动方法这个2位半的7段数码管只用5个管脚驱动。如果用常规的7段+共阳/阴则需要用10个管脚。如果把每个段看成独立的灯。5个管脚来点亮,任选其中一个作为COM端时,另外4条线可以单独各控制一个灯。所以实际上最多能驱动5*4 = 20个段。但是这里会有一个小问题。如果想点亮B1,可以让第3条线(P3)置高,P4 置低,其它阳极连P3的灯对应阴极P2 P1都应置高,此时会发现C1也会点亮。实际操作时,可以把COM端线P3设置为PP输出,其它线为OD输出。就可以单独控制了。实际的驱
    southcreek 2025-05-07 15:06 744浏览
  • 这款无线入耳式蓝牙耳机是长这个样子的,如下图。侧面特写,如下图。充电接口来个特写,用的是卡座卡在PCB板子上的,上下夹紧PCB的正负极,如下图。撬开耳机喇叭盖子,如下图。精致的喇叭(HY),如下图。喇叭是由电学产生声学的,具体结构如下图。电池包(AFS 451012  21 12),用黄色耐高温胶带进行包裹(安规需求),加强隔离绝缘的,如下图。451012是电池包的型号,聚合物锂电池+3.7V 35mAh,详细如下图。电路板是怎么拿出来的呢,剪断喇叭和电池包的连接线,底部抽出PCB板子
    liweicheng 2025-05-06 22:58 760浏览
  • 在过去的很长一段时间里,外卖市场呈现出美团和饿了么双寡头垄断的局面。美团凭借先发优势、强大的地推团队以及精细化的运营策略,在市场份额上长期占据领先地位。数据显示,截至2024年上半年,美团外卖以68.2%的市场份额领跑外卖行业,成为当之无愧的行业老大。其业务广泛覆盖,从一线城市的繁华商圈到二三线城市的大街小巷,几乎无处不在,为无数消费者提供便捷的外卖服务。饿了么作为阿里本地生活服务的重要一环,依托阿里强大的资金和技术支持,也在市场中站稳脚跟,以25.4%的份额位居第二。尽管市场份额上与美团有一定
    用户1742991715177 2025-05-06 19:43 145浏览
我要评论
0
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦