tyty2211的博客

可知接收器接收到广播后，会根据action隐式跳转到WebView2Activity（对应的action为com.insecureshop.action.WEBVIEW），并且指定了跳转后页面的加载的url，这里onReceive中的url和action都无法篡改，那我们如何传递任意url呢，我们需要拦截这个action。在安装了恶意应用的手机上，用户点击more info时，不会加载预先指定的url，恶意应用会监听到该动作，传递恶意url给目标应用，进而加载我们指定的任意url。

攻击者通过android.intent.extra.STREAM传入一个文件路径file://aa/123.txt，ChooserActivity接受该路径，获取路径中表示的文件名123.txt，在外部存储目录下创建insecureshop文件夹，在该文件夹下创建该文件123.txt，读取攻击者指定的文件file://aa/123.txt，写入到insecureshop下的123.txt中。然后打开insecureshop apk，无需输入用户名密码，直接点击登录，代码即可执行。成功读取应用私有文件。

insecureshop使用的net.gotev.uploadservice版本是3.2.3，为什么这里poc中不用3.2.3呢，因为现在这个版本不可用，相邻版本只有3.3和3.2.1，由于3.3版本与3.2.3某些实现方法不同，这里使用3.2.1版本。权限： 对于 s3.list_buckets() 操作，用户需要拥有 s3:ListAllMyBuckets 权限，以及对资源 arn:aws:s3::😗 的权限。用途： 通常用于获取账户中存在的 S3 存储桶的概览，了解存储桶的名称、创建日期等信息。