[原创]阿里EVIL_APK_3题解-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]阿里EVIL_APK_3题解

2014-10-2 20:10 11562

[原创]阿里EVIL_APK_3题解

ThomasKing 活跃值

2014-10-2 20:10

11562

闲来无事，今天小弟小小研究了下ALICTF_evalapk_3。虽然题目较简单，但还是学到了些东西，作为学习笔记。仅供小菜玩耍，大大直接忽略即可。限于本菜水平，难免会有疏漏错误之处，还请各位批评指正。
-----------------------------------------------------------------------------------
初看题目，要求构造一个html触发Toast弹出flag。本菜既不懂html，更不会js。先不管这个，看下apk。
反编译apk，发现apk被加个壳。使用ida尝试脱壳，脱壳顺利，dump出了dex文件。具体脱壳流程可以参看：http://www.52pojie.cn/thread-293648-1-1.html 帖子，写得很好很详细，这里就不赘述了。

拿到dex文件反编译，发现dex文件很简单。入口MainActivity主要功能就是加载html文件，然后跳转到webViewActivity。webviewActivity实现了JavaScriptInterface，其中有一个showToast方法，这个方法就是题目要求触发的方法。

仅从解题来说，已经完成了，showToast方法里面给出了Toast内容: "祥龙！"
那如何构造html触发这个方法呢？其实懂js与java的读者一下就知道如何构造了。由于本菜不懂，经过查找资料，以为是利用webview的漏洞，构造html触发，经过各种尝试，未果。感觉和webview漏洞没什么关系。

顺着这个思路，搜索了js与java交互，找到答案。其实就是普通的js调用java方法。简单学习了下js如何调用java方法，关键是:在js中获得java类。addJavascriptInterface方法第二个参数给出了类的别名，供js使用。

再看smali，发现别名是通过"BQ1$*[w6G_"字符串经过ListViewAutoScrollHelpern.decrypt_native得到，解密方法放在了so文件中。到这里思路就很多了，一种是直接分析so算法；二是通过添加logcat smali或者自建一个apk调用so得到；三是将别名赋值一个新值，即自定义别名。当然还有其他思路，就不一一列举了，我这里采用第三种方法。
直接在原smali中添加如图红色区域所示代码：

构造如下html文件：
<html>
  <head>
  <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <script>
  </script>
  </head>
  <body>
  <a onClick="window.ThomasKing.showToast()">showToast</a><br/>
  </body>
</html>
传入手机测试，弹出Toast。
当然，此题有很多其他解法，可以参看alictf2014 top3的writeup。我认为此题主要考选手脱壳吧。
----------
附件为比赛apk文件。
恭祝各位坛友国庆愉快！

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

上传的附件：

1.jpg （16.41kb，22次下载）
ba34f1892afc312b2c994fa5c41306fcf-jscrack.apk （1.60MB，237次下载）

收藏・12

点赞・1

打赏

最新回复 (9)
zzcc 雪币： 232 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 374 粉丝 0 关注私信	zzcc 2014-10-3 21:30 2 楼 0 学习了，不懂java,不懂网页，等考过证了好好月一下
by苏格兰雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 65 粉丝 0 关注私信	by苏格兰 2014-10-4 16:32 3 楼 0 飘过，不懂
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 7 关注私信	boyliang 5 2014-10-5 15:46 4 楼 0 这题主要考察的应该是webkit的漏洞利用和脱壳，其实那个ListViewAutoScrollHelpern.decrypt_native可以完全不理会，发个不用修改dex的方法： <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <script> function findobj(){ for (var obj in window) { if ("getClass" in window[obj]) { return window[obj] } } } </script> </head> <body> hellowrold! <script type="text/javascript"> var obj = findobj() obj.showToast() </script> </body> </html>
ThomasKing 雪币： 370 活跃值： (1181) 能力值： ( LV9，RANK：310 ) 在线值：发帖 20 回帖 207 粉丝 156 关注私信	ThomasKing 6 2014-10-5 17:15 5 楼 0 多谢大大指点！
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 259 粉丝 6 关注私信	鬼谷子c 1 2014-10-7 12:56 6 楼 0 赞一个！大佬一出手，就知有木有！
boyliang 雪币： 233 活跃值： (148) 能力值： ( LV9，RANK：210 ) 在线值：发帖 10 回帖 75 粉丝 7 关注私信	boyliang 5 2014-10-8 16:04 7 楼 0 你俩别这样，我也是懂点皮毛，正好可以秀出一下
Markyx 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	Markyx 2019-10-23 20:43 8 楼 0 想学习一下，mark
北冥鱼丶雪币： 307 活跃值： (490) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 1 关注私信	北冥鱼丶 2019-10-25 10:33 9 楼 0 这个题貌似是F8或者是福利皮讲过，利用浏览器漏洞是可以过的
neoyang_21 雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	neoyang_21 2021-1-11 20:25 10 楼 0 提供个稍微简单的思路： findAndHookMethod("android.webkit.WebView",lpparam.classLoader,"addJavascriptInterface",Object.class,String.class,new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { //打印出入参为：SmokeyBear LogUtil.e("before addJavascriptInterface:" + param.args[1].toString()); } }); findAndHookMethod("android.webkit.WebView",lpparam.classLoader,"loadUrl",String.class,new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { //直接修改url，触发SmokeyBear的showToast方法 param.args[0] = "javascript:window.SmokeyBear.showToast()"; } });
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复