Android渗透测试之静态和动态分析实战总结

x
用微信扫描二维码
分享至好友和朋友圈

  * 本文作者:路人LLD,本文属FreeBuf原创奖励计划,未经许可禁止转载

  Android安全问题日益严重,作为一名移动安全渗透人员,有时需要对移动apk进行全面的渗透测试,而不能仅仅局限于apk本身,此时往往就需要结合静态分析和动态分析进行。

  静态分析在不运行代码的方式下,通过观察进行分析发现;动态分析在运行代码的情况下,通过跟踪分析相关的内存,如寄存器内容,函数执行结果,内存使用情况等等,分析函数功能,明确代码逻辑,挖掘可能存在的漏洞。在某些情况下,需要动态分析才能够进行后续的渗透测试。

  在进行apk分析时,有时需要分析数据包,可是有些数据包已经被加了防护,例如增加了完整性校验参数,这个参数能够阻止数据被篡改。针对这种情况,如果想直接进行分析就变得困难了,若想继续渗透测试可能就需要结合动态分析。因此接下来,我将以一个完整的分析思路进行介绍。

  一、背景

  在对某个apk渗透测试的时候,发现该apk在发送数据包时,都传的有一个数据完整性参数。这样造成的结果是,如果渗透测试人员想对参数进行分析时无法对其进行修改。那么为了能成功的进行后续的渗透测试,就需要尝试分析出数据包的签名算法。

  二、分析目的

  通过静态分析和动态分析获取数据包的签名算法,从而实现对apk后继的渗透测试。

  三、解决思路

  首先,作为渗透测试人员肯定会思考程序是如何进行签名的?理论上数字签名就是给出加密后的信息以及信息摘要。服务端对接收到的数据进行摘要,然后对摘要的信息进行匹配,从而判断接收到数据包是否是完整且正确的信息。但是在实际实战中,可能会有些差别,这些差别需要通过观察数据包的格式进行一个简单的判断。因此,接下来就需要抓包看一下发送的数据包的样式。

  抓包使用的工具有很多,可以使用Burpsuite,也可以使用Fiddler。这里我使用Fiddler抓包工具进行分析。

  1.抓包

  抓包目的是对数据包进行分析,判断数据包的内容。图1和图2是抓包获取的信息,从图中可以看到sign字段,同时还有其他字段,username,method,t,smscode等。

  

  

  图1 fillder抓到数据包样式

  

  

  图2 Fiddler抓到数据包样式

  看到上图形式,大致可以猜测如下:sign字段的构造可能与v,userName,method,t,password中的一个或者多个参数有关。当然这里只是猜测,接下来还需要继续进行分析。

  2.分析apk获取sign构造方法。

  反汇编apk进行分析,目的是通过查看smail代码判断是否能找到sign构造的地方。使用工具有AndroidKiller或者APKide。

  

  

  图3 反汇编apk获取到程序smail代码信息

  将apk加载进AndroidKiller,可以看到apk的smail代码信息,如图3所示。接下来就可以进行分析了。起初想着静态分析,通过搜索关键字sign进行查找,要是能够找到那就容易的多了,可是后来发现能出来非常多的相关信息,根本无法参考使用,如图4所示。

  

  

  图4 搜索sign关键字结果

  因此,不得不更换一下思路。经过分析,觉得在登录的地方要发送数据包,而数据包中有sign签名参数,那么就一定有构建sign的地方。因此我尝试开始查找,终于在 LoginActivity中找到快速登录的函数,如图5所示

  

  

  图5 登录函数smail实现代码

  看到这里没有发现sign构造的地方,因此继续进行深入分析。分析loginQuickRequest类:这里面包含了四个请求时要显示的参数信息。如图6所示。

  

  

  图6 loginQuickRequest类对应的smail代码

  依然没有发现想要的sign参数,继续深入跟进BasicRequest类。非常幸运在BasicRequest.class里面终于成功的找到了sign参数。在里面可以看到如下信息:

  

  

  图7 sign构造对应的java代码

  在这里我们成功的看到了期望已久的sign字段,接下来就可以分析该段代码。

  localHashMap.put("sign",a.a(localHashMap, (String)localHashMap.get("method")));

  看到localhashmap就大致知道这里使用了map容器,该函数的第二个参数对应的就是sign的值。继续跟踪,最终追溯到so库-libNoodleMD5.so,在这里面进行MD5的加密。如图8、9所示。

  

  

  图8sign构造的地方

  

  

  图9 sign调用native代码执行的地方

  走到这一步就很明显了,顺理成章的需要分析so代码。图10是apk所用到的so库。

  

  

  图10 apk使用到的一些so库

  分析so库,需要用到IDA工具。IDA是一个强大的逆向分析工具,该工具支持动态分析。使用IDA加载对应的加密库,然后设置好断点,动态跟踪分析,找到加密函数。So文件中的加密函数如图11所示:正常情况下看到应该是smail代码,为了方便,这里使用了IDA的一个转换功能。IDA按F5可以实现将smail代码转换为类c程序,如图12所示。但是观察图12发现代码看起来还是很混乱,此时还需要导入JNI函数,方可得到如图13所示结果。通过观察图13发现,代码看起来清晰易懂。

  

  

  图11 加密函数的smail代码形式

  

  

  图12 加密函数类c形式

  

  

  图13 优化后加密函数类c形式

  最后按照单步跟踪,观察寄存器信息,就可以成功的找到规律得到sign的构造方法。利用该方法可以写一个自动化工具,快速生成任意自己想要的数据的签名。

  四、签名算法

  签名算法的原理是:首先获取URI的参数信息(method,userName,t,password,v等),然后拼接一个字符串:6C57AB91A1308E26B797F4CD382AC79D(该字符串是固定的)。得到一个长字符串,最后对这个长的字符串进行MD5值加密,即可成功的获取签名信息sign。

  五、遇到问题

  1.如何动态调试so代码?so代码调试需要在真机上运行。

  2.在看so库时,一堆代码,对于不太了解smail的人来说还是挺头疼的。幸亏有人已经提供了一个成熟的解决方法,导入jni.h文件(该文件声明JNI的结构信息),同时结合IDA自身的功能,可以将smail转化为通俗易懂的类c语言形式。

  3.在对arm分析时,需要时刻关注R0,R1,R2等信息,同时要了解函数的参数信息。

  六、总结

  Apk分析离不开静态分析和动态分析。通过静态分析能够梳理出大体思路,通过动态分析能获取程序实际的执行流程。两者相互辅助能够实现对负责app的深度渗透测试。

  * 本文作者:路人LLD,本文属FreeBuf原创奖励计划,未经许可禁止转载

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。

跟贴 跟贴 1 参与 1
© 1997-2019 网易公司版权所有 About NetEase | 公司简介 | 联系方法 | 招聘信息 | 客户服务 | 隐私政策 | 广告服务 | 网站地图 | 意见反馈 | 不良信息举报

FreeBuf

互联网安全新媒体

头像

FreeBuf

互联网安全新媒体

5505

篇文章

14192

人关注

列表加载中...
请登录后再关注
x

用户登录

网易通行证/邮箱用户可以直接登录:
忘记密码