小爱同学触屏音响Security Breach,成功越狱安装第三方App——4

此系列文章为本人原创,首发于本人博客,本身并不是一篇教程文章,主要是对破解过程的一些分享,希望能给各位读者一些启发。找漏洞不易,了解方法后自己偷偷玩就行,谢绝转载,且行且珍惜!

免责声明:破解具有一定风险,文章谈到的所有方法仅供学习交流之用,由于破解导致的问题与本人无关,请知晓风险后再进行操作。

四、歪打正着

通过前面的尝试过程,我们知道了要想进一步破解,目前我们能进行操作的途径还是远远不够的,根本就深入不了Android系统界面,而要想进一步探索,光靠已经固定官方提供的桌面,那一套已经限定死的操作逻辑,除了点击操作(连长按操作都没有),根本就没有你能往系统输入指令的地方,光靠一个点击就能把系统破解?看起来是不那么现实的,必须还要进一步拓展输入途径、内容和方式,前面的蓝牙尝试就是其中的一种,通过多样化的输入,来测试系统的稳定性,肯定会有当初程序猿没有考虑到的输入漏洞,这也是一个很好的突破点。这种思路在web入侵中经常用到,用户正常的输入自然没有问题,但是一些非常规的,特殊的输入,如果没有被过滤掉,则会成为严重的Security Breach,考虑到系统内稍微能自由操作的还是webview,那么也只能从这里入手了。又重新回到了webview,但是之前已经在这上面花了很多心思,一切尝试都被webview的安全机制拦截了,上传被拦截,下载被拦截,email被拦截,短信被拦截,电话被拦截。。。并且也不清楚到底是webview本身代码上做了限制,还是在编译Android的时候把相关的系统调用给移除了,于是我开始思考,百密总有一疏,肯定还有什么是没有拦截的。到底还有哪些系统调用没有被屏蔽而又正好被我忽视的呢?正当我一筹莫展的时候,突然发现了:

发现什么了吗?当时我也是正好打开着百度的界面,没错,就是百度一下旁边的小图标,于是我毫不犹豫马上点了下去,然后,额(⊙﹏⊙),竟然跳转到了百度App的下载界面,看来百度在推广他们的产品的时候真是不遗余力啊,但是方法应该没错,这里不行,那么换个地方试试,但是哪里有调用拍照或者音频的网站呢,这个貌似有点不好找。没事,我知道一个地方可以实现任何你想要的效果,百度不行,换个地方干:

这大概是做前端的人逃不过的一个网站吧,这次我们用到的是里面一个很好用的功能——亲自试一试,这是一个在线实例测试工具,也就是说你只要在浏览器中写出相关的html,点击执行后在浏览器端就能看到效果,不需要第三方服务器,开发工具什么的,整个流程都在浏览器中进行,还是很方便的。

我们这里先随便找一个Html5的实例,点击亲自试一试。接着我又找到了如何用H5调用系统相机,相册,录音的代码,大概如下:

使用input标签 type值为file,可以调用系统默认的照相机、相册、摄像机、录音功能。

<input type="file" accept="image/*" capture="camera">
<input type="file" accept="video/*" capture="camcorder">
<input type="file" accept="audio/*" capture="microphone">

作者:青檬眼豆豆
链接:https://www.jianshu.com/p/de9d09aa831d
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

我们把对于代码粘贴<body></body>,再点击运行,可以看到如下图所示的效果:

然后点击选择文件,然后,然后,然后你在想啥呢?想直接就能调出拍照界面?你怕是在想peach,真有这么简单也不至于这么久都没人攻破了。事实上,这个按钮调出来的界面与上传文件的界面无异,要想成功攻破还得另辟蹊径,关于为什么没有调出来?是姿势不对还是压根连拍照都被阉割了,因为这里并不是重点,这里我就先卖个关子,等成功破解后自然也就知道了。

真正的破解还是需要在不断的尝试中去慢慢发现,必须要注意每一个操作的反馈,近似的操作引发不同的现象,这就需要特别地关注。说来也巧,由一些web攻击的思路,我顺手构建了一个畸形的input,这一操作不要紧,在我选择好了文件,点击上传之后

<input type="file" accept="audio/*" capture="camera">
后面进一步简化成了
<input type="file" capture="camera">

意外引发了爱奇艺的崩溃。界面提示“爱奇艺已停止工作”,“应用信息”,“关闭”,看到这里,我突然欣喜若狂,这难道不就是活生生的突破点摆在你面前吗?

这里我顺便多说几句,在寻找漏洞中,应用崩溃是一个非常明显的信号,说明程序在设计方面不完善,有安全漏洞。在专业人士看来,基本上就告诉你了,就应该从这里突破,准没错的。

在点击应用信息后,我们成功地进入了爱奇艺的设置界面,这个界面的每一个选项我都仔细研究过,但是并找不到下一步的切入点,与此同时我也发现了新的现象,即点击右上角的搜索又会引发新的连环崩溃,然后整个界面就自动退出了,这里我通过多次尝试,找到了一个方法,在进入爱奇艺的设置后,点击强制关闭,再点击右上角的搜索,在新的崩溃中,快速点击应用信息,能成功进入到设置App的应用信息界面。

这里透露的信息就比较多了,能看到安装的所有应用的列表,能看到流量的使用情况,能看到权限管理,还能看到。。。

等等,最下面是什么,主屏幕应用?

默认是MicoLauncher,稍微懂点安卓的都知道切换这个就能切换启动的桌面,这不就是离成功非常近了?但是其他两个启动器是什么?保险起见,先看看其他地方有没有突破点,实在没办法了再来动这个。又在设置App的应用信息界面中翻了一遍之后,好像是除了这个选项,就没有其他有用的选项了,或者是能帮助我们切换到其他系统应用的选项。

不管了,先试试吧,下定决心之后,把启动器切换成了第一个MicoVisualAlgorithm,然后退出,返回主界面,发现好像并没有什么变化,从底部上滑这个操作应该是返回桌面的,但也没有任何反应,也许要重启呢?于是我顺利地将小爱触屏音响重启了。

这一重启不要紧,重启之后竟然:

未完待续

留下评论