升级劫持漏洞

本漏洞是在某次应用程序测试,找到的相关漏洞,特记录下来,加以学习参考。

漏洞类型:非授权访问/认证绕过

危害:攻击者可以劫持替换用户升级应用程序安装包,植入精心制作的恶意安全文件

详情:

  1. 用户安装的应用程序版本较低,会提示升级客户端,而且是强制升级。在启动应用程序过程中抓包。

捕获请求报文:

 

GET /android/version.do?channel=1fe5c048efea45cf77f0575aa475917c&version=2 HTTP / 1.1

hiro_trace_id:59f0b94039e046fca ********* 85fb759edb69c

hiro_trace_type:SDK

主持人:61.xxx.xxx.16

连接:关闭

用户代理:应用程序,Android的的的

密文:7d1b0ff5013a5ac1d1f4e59d0eb534 ********* 9fa8a3ff17b4a4bc38191198feb91c24a0ef5fe33e4e4eaa016d33910621077048a4ec57181838a6

原始响应为:

可以看到设置为强制更新,和升级的apk的路径。这里替换成恶意APK地址。为了演示,这里随便替换成其他的应用程序下载地址。

2.收到响应报文,点击立即更新后,应用程序自动下载其他的apk文件

其他应用的下载地址。

这里可以看到,下载文件大小其实已经跟原app的不一样了

 

可以精心构造一个恶意软件,图标替换为本app的图标,以诱惑用户安装。

具体可以参考http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0149563.html

 

 

本博主佛系人生,自娱自乐,不喜勿喷。

 

2 thoughts on “升级劫持漏洞”

  1. 没看懂,为啥修改返回包可以称为漏洞,那我修改返回包的content-type以及XSS代码不就可以任意造成XSS了吗?可不就是个自慰哎哟让你们吹的。

    1. 修改返回包,你要看他在哪边进行验证。像您所说的这种自我安慰,是已经在服务端对其验证了,那么你在客户端就属于修改前端代码,是属于自我安慰的情况。我说的是有些只在客户端进行验证,没有在服务端验证,这样我们就会对其进行绕过,这样属于漏洞。

Leave a Reply

Your email address will not be published. Required fields are marked *