2. 程式人生 > >Android ZIP檔案提取classes.dex檔案簽名校驗繞過漏洞

Android ZIP檔案提取classes.dex檔案簽名校驗繞過漏洞

阿新 發佈:2019-01-22

技術細節:

1.       在講這個漏洞之前,首先需要搞明白java裡short型別轉int型別的問題。要理解這個漏洞,必須明白這個技術點。

public class JavaTest {

    public static void main(String[] args) {

        short a = (short)0xFFFF;

        int b;

        b = a;

        System.out.println(b);

        b = a & 0xFFFF;

        System.out.println(b);

    }

}

如果你能很清楚的瞭解上述程式碼中兩次列印變數b的值有何不同,以及為何不同的話,這部分就可以先跳過了。否則還是要先弄清楚再往下看。




2.       Zip檔案格式

在每個Zip檔案中都有一個Central directory,Central directory中的每一項是一個File header。這個File header的結構對應到Android程式碼的類就是ZipEntry。File header結構中有一個偏移量指向local file header,local file header後面就緊跟著file data。接下來我們詳細看一下local file header的結構。

        local file header signature     4 bytes  (0x04034b50)

        version needed to extract       2 bytes


        general purpose bit flag        2 bytes

        compression method              2 bytes

        last mod file time              2 bytes

        last mod file date              2 bytes

        crc-32                          4 bytes

        compressed size                 4 bytes

        uncompressed size               4 bytes


        file name length                2 bytes

        extra field length              2 bytes

        file name (variable size)

        extra field (variable size)

可以看到,除最後2個域以外,local file header的其他域都是定長的。而這兩個變長域的長度是由file name length和extra field length所確定。再次說明,緊跟在extra field後面的就是檔案的資料file data了。



3.       Android如何進行apk校驗

Android在進行apk檔案校驗時,會調到ZipFile的public InputStream getInputStream(ZipEntry entry)函式。這函式中,有這麼一段:

            RAFStream rafstrm = new RAFStream(raf, entry.mLocalHeaderRelOffset + 28);

            DataInputStream is = new DataInputStream(rafstrm);

            int localExtraLenOrWhatever = Short.reverseBytes(is.readShort());

            is.close();



            // Skip the name and this "extra" data or whatever it is:

            rafstrm.skip(entry.nameLength + localExtraLenOrWhatever);

            rafstrm.mLength = rafstrm.mOffset + entry.compressedSize;

            if (entry.compressionMethod == ZipEntry.DEFLATED) {

                int bufSize = Math.max(1024, (int)Math.min(entry.getSize(), 65535L));

                return new ZipInflaterInputStream(rafstrm, new Inflater(true), bufSize, entry);

            } else {

                return rafstrm;

            }

注意:上述程式碼中紅色部分。localExtraLenOrWhatever就是local file header結構中的extra field length。回想一下我們第一部分將的技術點,如果這裡的extra filed length的大小是大於2^15,會怎麼樣?

沒錯,localExtraLenOrWhatever將會是負值。因此接下來,rafstrm.skip(entry.nameLength + localExtraLenOrWhatever); 這句將無法真正跳過變長域file name (variable size) 和extra field (variable size)。反而有可能呢會跳到file name (variable size)中,甚至file name (variable size)之前。當然為了攻擊方便,我們還是期望它跳到file name (variable size)中。



4.       如何實施攻擊

要改變一個apk的行為,顯然攻擊的目標就是apk裡的classes.dex檔案。對於classes.dex檔案在apk檔案中的local file header結構,其file name (variable size)域的內容肯定就是“classes.dex”了。注意,這裡的字尾名dex,正好和dex檔案開頭的三個位元組完全相同(不理解的,參見dex檔案格式)。

a)       利用這一點,從file name (variable size)域“classex.dex”的“.”之後開始我們可以寫入一個完整的dex檔案。這個dex檔案必須是原apk裡的classes.dex檔案。只有這樣才能繞過簽名驗證

b)       修改extra field length,使之為0xFFFD。因為這個值剛好為-3。根據漏洞,rafstrm.skip(entry.nameLength + localExtraLenOrWhatever); 這句就會跳到file name (variable size)域中的“.”之後。也就是一個dex檔案的開始,這裡必須是原dex檔案內容。

c)       修改local file header之後的file data資料。在這裡寫入帶有攻擊程式碼的classes.dex內容。

d)       以上的修改會帶來apk檔案一些結構上的調整,比如擴充extra field域,調整file data大小等。

具體攻擊模型,如下圖。







5.       總結

總的來說該攻擊手段,首先利用了Android在簽名驗證過程中,對Zip檔案相應16位域的讀取時,沒有考慮到大於2^15的情況。(因為java的int , short, long都是有符號數,而不像C/C++裡有無符號數)。

其次利用了Zip檔案中的local file header結構的extra field域來存放原classes.dex。但這個域的大小最多隻能是2^16-1,因此被攻擊的Apk裡的classes.dex大小必須在64K以內。否則,就無法對其進行攻擊。這算是這種攻擊方式的一個限制。

最後還有一個問題補充說明:之所以這種攻擊方式能成功,還在於在執行時,系統抽取的是hacked classes.dex,而在簽名校驗時,驗證的是extra域裡的classes.dex。前者是在libdex.so中實現,後者在Java層實現。是由Java層跟Native層不一致導致。 

相關推薦

Android ZIP檔案提取classes.dex檔案簽名繞過漏洞

技術細節:1.       在講這個漏洞之前,首先需要搞明白java裡short型別轉int型別的問題。要理解這個漏洞,必須明白這個技術點。public class JavaTest {    public static void main(String[] args) {

【技術分享】Windows程式的數字簽名繞過漏洞 360bobao

在今年的黑帽大會上,國外的一個安全研究員展示瞭如何通過Windows的數字簽名bypass對惡意程式程式碼的檢測。下載大會的該演講的ppt大概看了一下,報告分為兩部分,第一部分展示數字簽名的的校驗“漏洞”,第二部分展示該作者自己研究實現的一個pe程式載入器,用來配合第

Android安全/應用逆向--24--反編譯classes.dex檔案

7-1、反編譯classes.dex Java原始碼首先被編譯成.class檔案,然後Android SDK自帶的dx工具會將這些.class檔案轉換成classes.dex。所以我們只需要想辦法反編譯classes.dex即可得到java原始碼。運用安卓反編譯

Android中的ClassLoader與dex檔案加密實現分析

Android中的ClassLoader BaseDexClassLoader Dex類載入器的基類,包含Dex類載入器之間通用功能的實現。 DexClassLoader A class loader that loads classes from .jar

Android中帶你開發一款自動爆破簽名工具kstools

系統服務 代理類 water 利用 技術分享 roo 解決 問題 dia 一、技術回顧 為了安全起見,一些應用會利用自身的簽名信息對應用做一層防護,為了防止應用被二次打包操作,在之前已經介紹了很多關於應用簽名校驗爆破的方法,一條基本原則不能忘:全局搜索"signature"

檔案上傳繞過總結

檔案上傳校驗 前端javascript校驗(一般只校驗字尾名) 服務端校驗 檔案頭content-type欄位校驗(image/gif) 檔案內容頭校驗(GIF89a) 字尾名黑名單校驗 字尾名白名單校

如何計算檔案MD5 sha1 -- 微軟MD5/SHA1 工具 Microsoft File Checksum Integrity Verifier

微軟出品的小工具(Microsoft File Checksum Integrity Verifier)。 https://www.microsoft.com/en-us/download/detai

SAXBuilder解析xml檔案內容用於公共引數的

SAXBuilder解析xml檔案內容xml檔案:<?xml version="1.0" encoding="UTF-8" ?><IELPM name="快捷支付-綁卡支付"><merIn><merchantNo length="16

SpringMVC實現頁面和java模型的資料互動以及檔案上傳下載和資料

1. 專案結構 2.  springMVC-servlet.xml 配置檔案 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org

用loadrunner實現excel檔案下載功能的錄製及

按照普通方式錄製指令碼,指令碼成功錄製後,需要做以下操作 1。定義變數: long file; long pr; int flen; 2。手工關聯: web_reg_save_param("pr","LB=","RB=","SEARCH=BODY",LAST); 第一個引數

微信小程式業務域名配置:檔案驗證失敗,請下載檔案,上傳到伺服器指定的目錄

1.校驗檔案內容錯誤。校驗檔案內容一般是非HTML資料,如果下載下來的校驗檔案內容為HTML資料,一般為登入態過期。請重新登入小程式下載校驗檔案。 2.https證書過期。請確保https證書處於有效期內。 3.使用curl 測試連結,確保curl能夠正常訪問連結。

Python之——實現檔案打包、上傳與

不多說,我們直接上原始碼: # -*- coding:UTF-8 -*- ''' 實現檔案打包、上傳與校驗 Created on 2018年1月12日 @author: liuyazhuang

小程序數據簽名-Java端

[] jdk 代碼 secret key vid encrypt 校驗 color JDK內置的簽名算法不包含小程序需要的(對稱解密使用的算法為 AES-128-CBC,數據采用PKCS#7填充),所以需要引用第三方jar。 compile group: ‘org

理解以太坊的橢圓曲線簽名-簽名

原  理 以太坊數字簽名和比特幣的關係 以太坊數字簽名,幾乎完全沿用了比特幣的數字簽名演算法ECDSA-secp256k1。只有雜湊的生成方式不一樣,這個之後會說。ECDSA-secp256k1是一種非對稱加密演算法。 什麼是ECDSA 以太坊數字簽名演算法使用的是橢圓曲線數字簽名演算法,英

關於在安卓apk中增加官方簽名的說明

眾所周知,安卓apk的釋出,是需要經過簽名這一道程式的。 另外,要破解一個APK,必然需要重新對APK進行簽名。而這個簽名,一般情況無法再與APK原先的簽名保持一致。(除非APK原作者的私鑰洩漏,那已經是另一個層次的軟體安全問題了。)簽名機制標明瞭APK的發行機構。因此,站在軟

微信卡券JSAPI簽名演算法

微信卡卷的簽名規定: 1.將 api_ticket、timestamp、card_id、code、openid、nonce_str的value值進行字串的字典序排序。 2.將所有引數字串拼接成一個字串

WebApi安全性 引數簽名(結合Axios使用)

介面引數簽名校驗,是WebApi介面服務最重要的安全防護手段之一. 結合專案中實際使用情況,介紹下前後端引數簽名校驗實現方案。 簽名校驗規則 http請求,有兩種傳參形式: 1.通過url傳參,最常見的就是get請求(實際上post,put,delete都可以使用這種傳參方式),如: http://api.

微信jsapi支付介面簽名工具通過,但任然報簽名失敗!

微信支付介面簽名校驗工具: https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?ch

介面鑑權之sign簽名與JWT驗證

需求描述:   專案裡的幾個Webapi介面需要進行鑑權,同介面可被小程式或網頁呼叫,小程式裡沒有使用者登入的概念,網頁裡有使用者登入的概念,對於呼叫方來源是小程式的情況下進行放權,其他情況下需要有身份驗證。也就是說給所有小程式請求進行放行,給網頁請求進行jwt身份驗證。由於我的小程式沒有使用者登入的功能,所

從零擼美團Android(一) - 統一管理 Gradle 依賴 提取到單獨檔案

前言 從今天開始帶大家一起從零開始擼一個美團Android版App。 【從零擼美團】這個專題將持續更新,用以詳細記錄分享開發過程,歡迎關注。 原始碼地址:github.com/cachecats/L… 專題的第一篇文章本來想按慣例講專案介紹、整體架構、程式碼規範之類的。但今天有點躁動,不想講那麼正經