比葫芦娃还可怕的百度全系APP SDK漏洞 - WormHole虫洞漏洞分析报告

瘦蛟舞 2015-11-02 10:50:00

作者:瘦蛟舞,蒸米

”You can’t have a back door in the software because you can’t have a back door that’s only for the good guys.“ - Apple CEO Tim Cook

”你不应该给软件装后门因为你不能保证这个后门只有好人能够使用。” – 苹果CEO 库克

0x00 序


最早接触网络安全的人一定还记得当年RPC冲击波,WebDav等远程攻击漏洞和由此产生的蠕虫病毒。黑客只要编写程序扫描网络中开放了特定端口的机器,随后发送对应的远程攻击代码就可以控制对方主机,在控制对方主机后,程序可以继续扫描其他机器再次进行攻击。因为漏洞出在主机本身,想要修复漏洞必须安装补丁才行,但因为很多人并不会及时升级系统或者安装补丁,所以漏洞或者蠕虫会影响大量的机器非常长的时间,甚至有的蠕虫病毒可以感染全世界上亿的服务器,对企业和用户造成非常严重的损失。

Android发布后,我们就一直幻想着能发现一个像PC上的远程攻击一样厉害的漏洞,但是Android系统默认并没有开放任何端口,开放socket端口的APP也非常稀少,似乎出现像PC那样严重的漏洞是不太可能的。但可惜的是,世界上并没有绝对的安全,就在这么几个稀少的端口中,我们真的找了一个非常严重的socket远程攻击漏洞,并且影响多个用户量过亿的APP,我们把这个漏洞称之为WormHole虫洞漏洞。

0x01 影响和危害


WormHole虫洞漏洞到底有多严重呢?请看一下我们统计的受影响的APP列表(还没有统计全):

百度地图 检测版本8.7
百度手机助手 检测版本6.6.0
百度浏览器 检测版本6.1.13.0
手机百度 检测版本6.9
hao123 检测版本6.1
百度音乐 检测版本5.6.5.0
百度贴吧 检测版本6.9.2
百度云 检测版本7.8
百度视频 检测版本7.18.1
安卓市场 检测版本6.0.86
百度新闻 检测版本5.4.0.0
爱奇艺 检测版本6.0
乐视视频 检测版本5.9
...完整列表见附录

这个列表是2015年10月14号统计的百度系APP的最新版,理论上所有小于等于检测版本的这些百度系的APP都有被远程攻击的危险。根据易观智库的统计排行:

可以看到手机百度、百度手机助手、百度地图等百度系APP有着上亿的下载安装量和加起来超过三亿的活跃用户。

安装了百度的这些APP会有什么后果和危害呢?

  1. 无论是 wifi 无线网络或者3G/4G 蜂窝网络,只要是手机在联网状态都有可能受到攻击。攻击者事先无需接触手机,无需使用DNS欺骗。

  2. 此漏洞只与app有关,不受系统版本影响,在google最新的android 6.0上均测试成功。

  3. 漏洞可以达到如下攻击效果:

    • 远程静默安装应用
    • 远程启动任意应用
    • 远程打开任意网页
    • 远程静默添加联系人
    • 远程获取用用户的GPS地理位置信息/获取imei信息/安装应用信息
    • 远程发送任意intent广播
    • 远程读取写入文件等。

下面是视频DEMO:

俺们做的视频效果太差,下面demo视频是从雷锋网上看到的:

http://www.leiphone.com/news/201510/abTSIxRjPmIibScW.html

0x02 漏洞分析


安装百度系app后,通过adb shell连接手机,随后使用netstat会发现手机打开了40310/6259端口,并且任何IP都可以进行连接。

原来这个端口是由java层的nano http实现的,并且这个http服务,百度给起名叫immortal service(不朽/不死的服务)。为什么叫不朽的呢?因为这个服务会在后台一直运行,并且如果你手机中装了多个有wormhole漏洞的app,这些app会时刻检查40310/6259端口,如果那个监听40310/6259端口的app被卸载了,另一个app会立马启动服务重新监听40310/6259端口。

我们继续分析,整个immortal service服务其实是一个http服务,但是在接受数据的函数里有一些验证,比如 http 头部remote-addr字段是否是”127.0.0.1”,但是会一点web技巧的人就知道,只要伪造一下头部信息就可把remote-addr字段变成”127.0.0.1”。

成功的和http server进行通讯后,就可以通过url给APP下达指令了。拿百度地图为例,以下是百度地图APP中存在的远程控制的指令的反汇编代码:

  1. geolocation 获取用户手机的GPS地理位置(城市,经度,纬度)
  2. getsearchboxinfo 获取手机百度的版本信息
  3. getapn 获取当前的网络状况(WIFI/3G/4G运营商)
  4. getserviceinfo 获取提供 nano http 的应用信息
  5. getpackageinfo 获取手机应用的版本信息
  6. sendintent 发送任意intent 可以用来打开网页或者与其他app交互
  7. getcuid 获取imei
  8. getlocstring 获取本地字符串信息
  9. scandownloadfile 扫描下载文件(UCDownloads/QQDownloads/360Download...)
  10. addcontactinfo 给手机增加联系人
  11. getapplist获取全部安装app信息
  12. downloadfile 下载任意文件到指定路径如果文件是apk则进行安装
  13. uploadfile 上传任意文件到指定路径 如果文件是apk则进行安装

当我们看到这些远程指令的时候吓了一跳。你说你一个百度地图好好的导航行不行?为什么要去给别人添加联系人呢?添加联系人也就算了,为什么要去别的服务器下载应用并且安装呢?更夸张的是,安装还不是弹出对话框让用户选择是否安装,而是直接申请root权限进行静默安装。下图是代码段:

可以看到下载完app后会有三个判断:

  1. 手机助手为系统应用直接使用android.permission.INSTALL_PACKAGES权限静默安装应用
  2. 手机助手获得 root 权限后使用 su 后执行 pm install 静默安装应用
  3. 非以上二种情况则弹出引用安装的确认框

一般用户是非常相信百度系APP,如果百度系APP申请了root权限的话一般都会通过,但殊不知自己已经打开了潘多拉的魔盒。

如果手机没root就没法静默安装应用了吗?不是的,downloadfile和uploadfile可以选择下载文件的位置,并且百度系app会从”/data/data/[app]/”目录下动态加载一些dex或so文件,这时我们只需要利用downloadfile或uploadfile指令覆盖原本的dex或so文件就可以执行我们想要执行的任意代码了。比如说,利用dex或者so获取一个反弹shell,然后把提权的exp传到手机上执行获得root权限,接下来就可以干所有想干的任何事情了。

0x03 POC


因为影响过大,暂不公布,会在WormHole漏洞修复完后更新。

0x04 测试


简单测试了一下WormHole这个漏洞的影响性,我们知道3G/4G下的手机其实全部处于一个巨大无比的局域网中,只要通过4G手机开个热点,就可以用电脑连接热点然后用扫描器和攻击脚本对全国甚至全世界连接了3G/4G的手机进行攻击。在家远程入侵一亿台手机不再是梦。

我们使用获取包名的脚本,对电信的下一个 C 段进行了扫描,结果如下:

Discovered open port 6259/tcp on 10.142.3.25  "com.baidu.searchbox","version":"19"
Discovered open port 6259/tcp on 10.142.3.93  "packagename":"com.baidu.appsearch"
Discovered open port 6259/tcp on 10.142.3.135  "com.hiapk.marketpho","version":"121"
Discovered open port 6259/tcp on 10.142.3.163  "packagename":"com.hiapk.marketpho"
Discovered open port 6259/tcp on 10.142.3.117  "com.baidu.browser.apps","version":"121"
Discovered open port 6259/tcp on 10.142.3.43   "com.qiyi.video","version":"20"
Discovered open port 6259/tcp on 10.142.3.148  "com.baidu.appsearch","version":"121"
Discovered open port 6259/tcp on 10.142.3.196  "com.baidu.input","version":"16"
Discovered open port 6259/tcp on 10.142.3.204  "com.baidu.BaiduMap","version":"20"
Discovered open port 6259/tcp on 10.142.3.145  "com.baidu.appsearch","version":"121"
Discovered open port 6259/tcp on 10.142.3.188  "com.hiapk.marketpho","version":"21"
Discovered open port 40310/tcp on 10.142.3.53  "com.baidu.BaiduMap","version":"122"
Discovered open port 40310/tcp on 10.142.3.162  "com.ting.mp3.android","version":"122" 
Discovered open port 40310/tcp on 10.142.3.139 "com.baidu.searchbox","version":"122"
Discovered open port 40310/tcp on 10.142.3.143 "com.baidu.BaiduMap","version":"122"
Discovered open port 40310/tcp on 10.142.3.176  "packagename":"com.baidu.searchbox"

255个IP就有16手机有WormHole漏洞。

除此之外,我们发现华为,三星,联想,金立等公司的某些机型在中国出厂的时候都会预装百度系app,突然间感到整个人都不好了。。。

0x05 总结


我们已经在2015年10月14日的时候将WormHole的漏洞报告通过乌云提交给了百度,并且百度已经确认了漏洞并且开始进行修复了。但这次漏洞并不能靠服务器端进行修复,必须采用升级app的方法进行修复,希望用户得到预警后尽快升级自己的应用到最新版,以免被WormHole漏洞攻击。

0x06 受影响的app列表

足球直播
足球巨星
足彩网
卓易彩票
助手贴吧
中国足彩网
中国蓝TV
中国蓝HD
珍品网
掌上百度
悦动圈跑步
优米课堂
音悦台
移动91桌面
央视影音
修车易
小红书海外购物神器
侠侣周边游
物色
万达电影
贴吧看片
贴吧饭团
视频直播
生活小工具
上网导航
全民探索
穷游
途牛网 (新版本已经修复)
汽车之家 (新版本已经修复)
拇指医生(医生版)
萌萌聊天
美西时尚
么么哒
蚂蚁短租
旅游攻略
乐视视频
酷音铃声
口袋理财
经理人分享
购车族
歌勇赛
凤凰视频
风云直播Pro
多米音乐
都市激情飙车
懂球帝
蛋蛋理财
穿越古代
彩票到家
彩票365
爆猛料
百姓网
百度桌面Plus
百度云
百度游戏大全
百度音乐2014
百度新闻
百度团购
百度图片
百度贴吧青春版
百度贴吧简版
百度贴吧HD
百度输入法
百度手机助手
百度手机游戏
百度视频HD
百度视频
百度浏览器
百度翻译
百度地图DuWear版
百度地图
百度HD
百度
安卓市场
爱奇艺视频
VidNow
Video Now
T2F话友
Selfie Wonder
PPS影音
PhotoWonder
hao123特价
CCTV手机电视
91桌面
91助手
91爱桌面
91 Launcher
365彩票

PS:

1.文章是提前编辑好打算漏洞公开后再发布,趋势已经发文所以跟进.

http://blog.trendmicro.com/trendlabs-security-intelligence/setting-the-record-straight-on-moplus-sdk-and-the-wormhole-vulnerability/

2.网上公布的一些 app 列表大多是根据百度 moplus SDK 的特征指令静态扫描得来这样会有一定误报导致无辜 app 躺枪,比如漫画岛app 虽然集成了此 SDK 但是因为代码混淆策略,指令实现类名被混淆后 findClass 无法找到,所以 exp 都会提示404.

3.关联漏洞

WooYun: 百度输入法安卓版存在远程获取信息控制用户行为漏洞(可恶意推入内容等4G网络内可找到目标)

WooYun: WormHole虫洞漏洞总结报告(附检测结果与测试脚本)

评论

L

lxj616 2015-11-02 11:01:18

“你说你一个百度地图好好的导航行不行?为什么要去给别人添加联系人呢?添加联系人也就算了,为什么要去别的服务器下载应用并且安装呢?更夸张的是,安装还不是弹出对话框让用户选择是否安装,而是直接申请root权限进行静默安装。”
不是你在手机上用百度地图,是百度地图在用你的手机……

3

3xpl0it 2015-11-02 11:05:17

吊吊吊

D

devilk 2015-11-02 11:05:17

好刺激。。。

路人甲 2015-11-02 11:40:59

葫芦娃

路人甲 2015-11-02 11:41:40

配图碉堡了

瘦蛟舞 2015-11-02 11:44:02

据说有热补丁..

路人甲 2015-11-02 11:47:23

这配图,表示得好像360就不是这样似的…

路人甲 2015-11-02 11:47:38

配图

路人甲 2015-11-02 11:48:07

360金山百度腾讯,还有谁?

路人甲 2015-11-02 12:11:04

这破网站被攻击了吗,这么卡

路人甲 2015-11-02 12:27:59

链接超时 百度云加速节点无法连接源站

路人甲 2015-11-02 12:31:54

一次作恶,就会被用户记一辈子。

路人甲 2015-11-02 12:52:09

好久不用百度的东西了

路人甲 2015-11-02 13:11:36

哈哈哈这些垃圾一个都没装过!

路人甲 2015-11-02 13:27:56

手机里不用百度,只知道电脑百度的软件下载下来很不容易删除干净

路人甲 2015-11-02 13:40:37

冰冻三尺,非一日之寒。百度加油作死。

路人甲 2015-11-02 13:59:16

比葫芦娃还可怕的百度全系APP SDK漏洞 - WormHole虫洞漏洞分析报告

路人甲 2015-11-02 14:16:11

简单来说就是,百度原本是让任一个自家的 app 都拥有安装百度全家桶的能力,但没想到这会带来安全漏洞,可以让远程启动任意应用、网页、写入文件成为可能。

路人甲 2015-11-02 15:30:16

666

晓川 2015-11-02 15:31:54

互撸娃,互撸娃! 一个藤上七个瓜!

路人甲 2015-11-02 15:36:22

百度已经成流氓中的流氓了

N

Null 2015-11-02 15:46:27

还没见到Google危害,先见百度为国做贡献

路人甲 2015-11-02 16:39:39

毕竟百毒,是不是得告别最后的贴吧产品了。

路人甲 2015-11-02 17:06:11

考虑到全家桶效应,用户数不能简单直接相加吧

胡小树 2015-11-02 17:22:08

安装6.0入华,还要被阉割,反正也没法用google

路人甲 2015-11-02 17:26:19

@罗宾李 现在好了,捅全家。

路人甲 2015-11-02 17:27:51

有一点不明白,话说手机没root,也没有给百度系列app这样的权限,也会中招吗?给百度app只开最简单的权限如定位

路人甲 2015-11-02 17:37:56

话说xcode那人抓到了么?

路人甲 2015-11-02 17:40:24

百毒,流氓中的大流氓。

路人甲 2015-11-02 17:48:21

360浏览器怎么没有百度搜索了,我用百度搜索挺好的

路人甲 2015-11-02 17:55:26

我特么之前一直给别人推荐百度地图和百度输入法。。。

路人甲 2015-11-02 18:11:40

这种情况让很多人无法忍受,所以除了百度地图和搜索外,几乎不用百度的其他产品

路人甲 2015-11-02 18:45:00

是时候买一台360手机了。

路人甲 2015-11-02 18:52:56

哈哈

路人甲 2015-11-02 18:53:13

赶紧百度一下怎么解决

路人甲 2015-11-02 19:02:25

百度好恶心

路人甲 2015-11-02 19:03:07

我表示几大里面确实百度产品现在做得最差,无论pc还是android端

路人甲 2015-11-02 19:06:16

iOS有影响嚒

路人甲 2015-11-02 19:10:01

百度这是作茧自缚么?不好好搞搜算引擎,专搞这些流氓招数。早晚要被阿里收购啊!

路人甲 2015-11-02 19:21:47

太变态了。。。百度。。。

路人甲 2015-11-02 19:21:56

还好不用安卓

路人甲 2015-11-02 19:29:43

百度流氓成瘾。不过为啥出这个消息就是红衣教主躺枪。

路人甲 2015-11-02 19:48:49

几年前就应该有了吧, moplus不该搞这么多功能. 要不然把权限分级搞好, 就知道TM加功能. 话说LZ没研究研究里面的push sdk有啥窟窿没?

路人甲 2015-11-02 19:52:17

赶紧百度一下压压惊

路人甲 2015-11-02 19:53:51

早就放弃百度了~~~

路人甲 2015-11-02 20:01:35

不作恶太难

路人甲 2015-11-02 20:09:02

上班族们是不是每天都嫌麻烦而不吃早餐?是不是每天起床晚就不吃早餐?你还在怀念儿时妈妈做的早餐味道吗?妮妮五谷坊为你做好早餐,让你回味儿时妈妈的味道。http://t.cn/RUyr2BP

路人甲 2015-11-02 20:21:13

我就不提Java官网下的中文安装包里竟然会绑百度

路人甲 2015-11-02 20:33:33

今天下载了快压,结果绑定了三个百度软件,把我电脑都搞黑屏了!愤而卸载之。

路人甲 2015-11-02 20:35:03

众里寻它千百度,节省脑汁,问百度。

路人甲 2015-11-02 20:48:04

百度软件有人下载过吗,都他妈是捆绑的百度应用,臭流氓!期待谷歌早日回归!

路人甲 2015-11-02 20:58:44

天哪~~ 百度钱包~~

路人甲 2015-11-02 21:04:46

百毒全家桶

路人甲 2015-11-02 21:17:34

吓的我赶紧翻墙,谷歌一下

路人甲 2015-11-02 21:18:51

百度大流氓

路人甲 2015-11-02 21:22:55

simeji是否受影響。

路人甲 2015-11-02 21:35:43

话说这种后门早就能被发现呀_(:з」∠)_... 还是说大家都太过于相信百度的app了

路人甲 2015-11-02 21:41:12

难道360不是吗???

路人甲 2015-11-02 21:43:30

可以实施清理咯

路人甲 2015-11-02 21:49:58

卡巴手机版报百度果然不是误报⋯⋯

路人甲 2015-11-02 21:56:02

好可怕!

路人甲 2015-11-02 22:00:01

下载一个百度下载助手之后果断卸载不掉,点卸载就蓝屏,电脑小白请教一下怎么弄

路人甲 2015-11-02 22:01:05

所以说ios不会中招

路人甲 2015-11-02 22:02:49

国内有哪家的软件不流氓的,乱世之中,你肯定会雇一个镇得住其他流氓的人来保护你,哪怕他本身也是个流氓

路人甲 2015-11-02 22:07:21

已卸载全百度系软件,仅有的百度输入法蛮好用,我就给删掉各种权限了

路人甲 2015-11-02 22:17:30

360就不流氓了?搜狗就不流氓了?片面

J

J0kER 2015-11-02 22:19:36

受影响的路过

路人甲 2015-11-02 22:22:46

360不也是这样吗

路人甲 2015-11-02 22:28:30

再说是上个月的事情,早就已经修好了,不知道博主发这个有什么目的

路人甲 2015-11-02 22:46:16

百度?百毒?

路人甲 2015-11-02 22:48:46

手机上百度贴吧,翻一夜评论都会要求安装百度贴吧客户端,我想说我用uc上网怎么了

路过 2015-11-02 22:49:11

iOS会受影响吗

路人甲 2015-11-02 23:51:59

发红包啦!点我头像首条微博领取红包,不要错过哟

路人甲 2015-11-02 23:51:59

所以这是后门吧……

呆子不开口 2015-11-03 02:05:46

这个自带server的remote-addr机制也挺奇葩,竟可通过header来定义,基于客户端IP的风控岂不是没法做。其实,我更喜欢另一种文中没提的需本地交互无需IP的攻击方式,适合搞人。而文中提的扫IP的方式,更适合黑产…另外,求推荐在线看别人生活的app,百度云盘目前得卸了

路人甲 2015-11-03 02:15:21

这个洞666!学习了!

路人甲 2015-11-03 07:31:19

我就知道百度地图会自动下载手机管家。真恶心。

路人甲 2015-11-03 07:46:24

各种全家桶

D

Daryl 2015-11-03 08:53:57

欢迎加入Windows Phone阵营。。。

C

Chia 2015-11-03 09:30:01

狼性啊……

路人甲 2015-11-03 09:40:27

估计百度系应用用的都是同个架构

路人甲 2015-11-03 09:42:56

@呆子不开口 本来就没法判断,HTTP在哪一层,IP在哪一层……这东西放出来就是要给人利用的……百度真心弱智

不明觉厉 2015-11-03 09:56:40

我就想问一下 我手机装在口袋中 别人可以通过adb 随便来连吗??
刚才我试了 显示的是这个 unable to connect to vices:5555 没有连上啊???

不明觉厉 2015-11-03 10:01:39

@不明觉厉 (我的手机就装了百度地图的)我是通过ip来连的(手机和电脑通过wifi连在同一个局域网中的)如果这样真的可以连进去感觉好可怕啊,公共的wifi都不敢连了。。。

H

Herolon 2015-11-03 10:17:11

看得哥蛋子一缩

西

西红柿 2015-11-03 11:00:04

是不是幸好我暂时脱离了安卓了

路人甲 2015-11-03 11:14:23

突然一下 整个人都不好了

路人甲 2015-11-03 11:27:24

要用那端口去祸害手机,有个前提:手机使用USB连接了电脑,并且,手机打开了开发者选项中的USB调试;现在手机基本深度定制,非原生Google-Android系统,静默安装等功能,其实很多是无法实现的,除非你手机刷机Root了,并且,你给了那个应用Root权限---这是用户行为操作,用户既然允许了,那自然没话说。
综上所述,炒作真可怕,危言耸听!

路人甲 2015-11-03 11:54:17

混淆策略是啥

路人甲 2015-11-03 12:10:35

@zz 是不是说的 代码混淆 保护源代码的一种方式???

路人甲 2015-11-03 12:11:18

@Android 一看你就是个外行,文章写这么明白了还看不懂,劝你不要在安全圈混了,没文化真可怕…

路人甲 2015-11-03 12:22:32

@Android 但是漏洞就是漏洞,百度这么造,很没有节操吧

路人甲 2015-11-03 12:40:10

百度赶超了360!
流氓手段也比360强了
每次下载东西 都会让你下载百度手机助手 或百度云

路人甲 2015-11-03 12:40:28

百度真他妈下作到根子里了,请立刻卸载所有百度系APP!!!

S

Sakura丶小樱 2015-11-03 13:16:23

卸载保平安

路人甲 2015-11-03 13:17:19

文章是说的很清楚了,[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */

路人甲 2015-11-03 13:42:16

1,远程静默安装应用---这里如何确定是安装的,而不是只是一个快捷方式非另外个应用;
2,远程启动任意应用---启动任意应用,这个何须漏洞实现?懂Android研发的都知道,一个Intent就可以打开任意应用;
3,远程打开任意网页---和上一个一样,都属于正常功能;
4,远程静默添加联系人---添加联系人很正常,静默就未了解了。
5,远程获取用用户的GPS地理位置信息/获取imei信息/安装应用信息--哈哈,这多么正常啊;
6,远程发送任意intent广播——Android本来就有发广播的机制,有啥的;
7,远程读取写入文件等。---QQ聊天记录还要读写保存。。。
除了两个静默方式不确定(文章上也没表现确凿证据),其他的,那你还不如说百度提供了地图,提供了搜索。。。这些都是漏洞呢,[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */ @dpp

路人甲 2015-11-03 13:49:53

都说了你这水平就不要混安全圈子了,简单回答你的第一个问题,你看文章的分析,这个SDK会主动申请root权限,如果手机已经root了就静默安装,完全不提示用户。就算没有root,预装你知道不?大量的手机预装了百度的应用,拥有install app的权限,可以静默安装另一个应用。就算上面说的都不存在,利用已知漏洞exp获取root你玩过没有?说的这么明白了你应该懂了吧! @Android

路人甲 2015-11-03 14:04:44

(⊙o⊙)哦?主动申请Root权限,跟谁申请?自然是跟用户申请,用户要是许可了,那自然是用户的事情了,你急啥。手机预装了百度,那是手机生产商的事情,人家既然信任百度,给予百度系统级权限,那百度肯定自然使用。不懂就别乱说话,说这么多,你应该明白了吧!@dpp

路人甲 2015-11-03 14:05:15

劝你真的不要在安全行业混了。 @Android

路人甲 2015-11-03 14:05:57

@rubu 百度全家桶

路人甲 2015-11-03 14:12:14

卧槽 还没开始就倒下 不整疯一群人誓不隐退

路人甲 2015-11-03 15:32:30

@Android
有执行url的权限什么不能做?不必执着于能不能静默安装app的事,既然这个后门都真真切切摆在那了,原理也说很清楚,要简单的利用之已经没太多难度了,给它洗地没啥必要了吧?

哈哈 2015-11-03 16:13:15

@Android 强词夺理好玩吗

路人甲 2015-11-03 17:13:24

这不是漏洞,这就是后台……

呵呵 2015-11-03 17:17:56

你是逗比么 @Android

路人甲 2015-11-03 17:24:33

@Android 还能远程给你吗自 慰呢,哈哈,百度真是你亲爹!

Q

qingxp9 2015-11-03 17:54:32

《一路走到黑的百度》http://t.cn/RUJHfcZ

路人甲 2015-11-03 19:02:10

@Android 你不像是搞安全的 更不像是搞Android的,你来干什么?

路人甲 2015-11-03 20:33:46

@呆子不开口 最后一句,意思是说百度云网盘有那个功能?

路人甲 2015-11-03 20:38:22

楼下怎么吵架了,人家说的也不无可能,没有亲身试验,保持一份怀疑,也没什么不好。

路人甲 2015-11-03 20:41:41

呵呵,撒谎也找个合适的理由好不好?现在的百度有事没事强制给别人安装,还信任呢?这种话你也说的出口?说吧,你是百度公司手下哪个部门的,[email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */

路人甲 2015-11-03 20:47:15

谷歌是时候回来了

路人甲 2015-11-03 21:19:14

啥意思???

H

Hckmaple 2015-11-03 21:41:55

百度你妈比!!!

路人甲 2015-11-03 21:55:28

太可怕了……用百度的童鞋们,自求多福吧

路人甲 2015-11-03 22:43:45

不亏是百毒

路人甲 2015-11-04 04:20:06

Use play store.

Mark 2015-11-04 05:28:51

@Android 真的,這種水平就不要在這裡平論了,來烏雲的很多都是專業人士,知道文章在說啥,看評論也能很容易分辨誰是幹這行的誰是外行人或者非專業槍手。如果你只是普通用戶,可以自己找技術論壇多學點背景知識再來看這文章,如果是槍手來洗地的話,勸你找個小白多點社區再洗版,這種東西跟這裡的平均智商不合。

路人甲 2015-11-04 13:13:29

@Android 笑死我了。这些功能在本地实现也许正常。然而远程实现,也就是你连个3G,别人用电脑帮你打开了,这还不算漏洞?

我了个去 2015-11-04 14:07:14

看到老周的配图,笑cry...

路人甲 2015-11-04 14:15:12

@Android 洗地也需要水平和智商啊,你的表现,令人捉急

路人甲 2015-11-04 16:17:42

先赞一个,再提个问题。
文章里的"remote-addr" 不知道是不是php中的用到的$_server["remote_addr"]呢?
就我所知,php中的这个字段由于是由服务器决定的,是很难伪造的。

路人甲 2015-11-04 21:13:17

REMOTE_ADDR 并不能随意伪造吧?

路人甲 2015-11-04 21:33:54

小白表示看不太懂 只有一个百度地图 用supersu管理root 黑产要hack我的手机是不是要先连接40310/6259端口1,再要伪装成127.0.1 2,用指令downloadfile下载反射shell加载到date里面 百度地图运行时候会自动加载通过提权获取root权限 ?

路人甲 2015-11-04 23:30:56

于是我赶紧卸载了百度所有的应用

H

h0FF 2015-11-05 10:36:12

REMOTE_ADDR怎么伪造呀?求教

路人甲 2015-11-05 11:07:30

现在端口似乎关了,我试了历史版本。都没那些端口,是热更新么?

路人甲 2015-11-05 11:28:32

@kkzz 可以随便伪造。只是伪造了,返回不回来。不过这也不需要返回

路人甲 2015-11-05 11:30:03

@Android 你是猴子请来的吧

路人甲 2015-11-05 22:04:29

@g 没关,你扫你所在局域网,一般都有开放的,但是我没试出来除了cuid之外的获取方式,都是404 Error

T

taylorwin 2015-11-09 14:37:26

远程静默安装应用 谁能回答我,我关了未知来源安装APP,也可以吗?

路人甲 2015-11-27 13:23:36

@Android 6666666666666 一顿胡编

路人甲 2015-11-27 18:36:31

修改httpheader就可以伪造 @h0FF

路人甲 2015-11-30 17:56:46

@ckell 你可知道HTTP协议就是有固定格式的socket协议。
PHP封装了HTTP协议,但是自己构建HTTP格式的socket分分钟的事啊。

路人甲 2015-12-04 17:09:29

@Android sb吗=。=

路人甲 2015-12-12 13:19:15

为百度洗地的先去下一个百度杀毒看看

路人甲 2016-02-21 11:00:23

老板救命!我iphone 里面的AppStore 都被卸载掉了!现在苹果手机里都是安卓的软件!!!!! Qq,微信都不敢登陆了! [email protected]/* <![CDATA[ */!function(t,e,r,n,c,a,p){try{t=document.currentScript||function(){for(t=document.getElementsByTagName('script'),e=t.length;e--;)if(t[e].getAttribute('data-cfhash'))return t[e]}();if(t&&(c=t.previousSibling)){p=t.parentNode;if(a=c.getAttribute('data-cfemail')){for(e='',r='0x'+a.substr(0,2)|0,n=2;a.length-n;n+=2)e+='%'+('0'+('0x'+a.substr(n,2)^r).toString(16)).slice(-2);p.replaceChild(document.createTextNode(decodeURIComponent(e)),c)}p.removeChild(t)}}catch(u){}}()/* ]]> */

路人甲 2016-03-26 21:40:24

@taylorwin 可以,获取root后可干任何事

瘦蛟舞

小米安全武汉招人ing

随机分类

Web安全 文章:248 篇
Android 文章:89 篇
Windows安全 文章:88 篇
业务安全 文章:29 篇
PHP安全 文章:45 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录