Android第二个签名漏洞#9695860(The Second Master Key)的手动构造利用
来源:互联网 发布:巴黎 地图 知乎 编辑:程序博客网 时间:2024/05/17 01:42
参考:
《Android第二个签名漏洞#9695860揭秘》:http://www.colordancer.net/blog/2013/08/26/android-%E7%AC%AC%E4%BA%8C%E4%B8%AA%E7%AD%BE%E5%90%8D%E6%BC%8F%E6%B4%9E-9695860-%E6%8F%AD%E7%A7%98/
《zip文件格式说明》:http://blog.sina.com.cn/s/blog_4c3591bd0100zzm6.html
这个漏洞的原理是java代码在读取“Central directory file header”结构的“Extra field length”字段(java代码视为有符号short,C代码视为无符号short)时,如果大小超过0x7FFF则认为是负数,代码逻辑将负数一律按零处理。
只要构造如图的apk即可绕过签名:
设定原apk为test.apk,下面讲述下手动构造方法:
反编译test.apk,这里测试研究只插桩打印了一句log,代码仍旧使用《手动打造apk利用ANDROID-8219321漏洞(Master Key)绕过android签名校验》文中的代码。
反编译test.apk,修改代码后回编译,并测试验证修改的代码可以正常输出log。
解压缩test.apk,将原classes.dex改名为classeorigin.dex,把修改后的classes.dex复制到解压缩的目录。
然后打包成zip,现在文件结构如图:
这里有个技巧,把原classes.dex改名为classeorigin.dex是为了让其在zip包中的顺序在classes.dex之前。
查找HEX:50 4B 01 02,也就是“Central directory file header”的开头,找到含有classeorigin.dex的上一个结构,如图是AndroidManifest.xml结构。0013是文件名长度,因为AndroidManifest.xml是19个字符。后面的两个字节的字段就是“Extra field length”,
这里有意设置为0x8000,使得java代码读取时刚好认为是负数,使其按0处理。这样就意味着后面需要紧跟着一个“Central directory file header”结构,如上图是一个dex(原dex)。
签名校验中需要验证classes.dex而不是classeorigin.dex,因此需要把文件名还原回去,多出的5个字节刚好填在“Central directory file header”结构的“File comment length”字段,最后的注释内容随便填写。
从包含AndroidManifest.xml的“Central directory file header”结构末尾算起,加上0X8000大小(中间包含了原dex的结构)后是修改后的dex结构:
在后面的结构是其他文件的结构,都是正常的,无需修改。这样在C代码中,识别的压缩文件结构是这样:
……AndroidManifest.xml->修改后的dex->resources.arsc……
但是为了绕过签名校验,要让java代码中识别的压缩结构是:
……AndroidManifest.xml->原dex->resources.arsc……
因此还要把原dex结构的“Extra field length”字段跳过修改的dex结构,使得下一个“Central directory file header”结构是resources.arsc的结构。 这里的“Extra field length”不能再超过0x7FFF,这也是为什么一开始要将原classes.dex改名为classeorigin.dex,使得多出几个字节来。 上上图中的原dex结构的“Extra field length”字段是0x7FFB。
最后一步修改zip文件尾:
修改文件个数,分别将15改为14(因为隐藏了一个文件),“Central directory file header”所有目录的大小也要修改(只要拿尾部标记的地址减去“Central directory file header”结构的起始地址即可)。
最后的apk文件结构如图:
图中的classes.dex是修改后的dex。
测试安装并运行apk,可以绕过签名并输出log:
说明运行的是修改后的dex。
对比前一个“MasterKey”漏洞,这个漏洞更加隐蔽,因为不会出现两个同名的classes.dex。
阅读全文
0 0
- Android第二个签名漏洞#9695860(The Second Master Key)的手动构造利用
- Android第二个签名漏洞#9695860(The Second Master Key)的手动构造利用
- 手动打造apk利用ANDROID-8219321漏洞(Master Key)绕过android签名校验
- Android 第二个签名漏洞 #9695860 揭秘
- Android master key漏洞
- Android第二个绕过签名认证漏洞原理
- Android uncovers master-key 漏洞分析
- Android“FakeID”签名漏洞分析和利用
- Android第三个签名漏洞#9950697分析
- android master key
- Android签名漏洞分析
- android 签名漏洞
- Android Studio : 修改Debug签名的Key
- android AOSP 的test-key签名
- android手动 v2 签名
- Android 签名机制:Key的产生方法和签名原理
- Codeigniter 利用加密Key(密钥)的对象注入漏洞
- The DAO的漏洞利用分析
- JAVA开发环境的配置
- [Java算法分析与设计]顺序栈的应用
- vue的todoMVC 来自官网--大自然的搬运工
- ANSI C文件IO管理
- javascript学习(三) — 数组
- Android第二个签名漏洞#9695860(The Second Master Key)的手动构造利用
- cloud zoom破解
- Python入门笔记
- RadioButton、CheckBox去除选中时的动画阴影效果
- java-IO读取和写入
- Python多进程编程
- Android 设置软键盘搜索键以及监听搜索键点击事件
- appium环境搭建步骤
- C/C++中的变量作用域,生命周期,初始值