4rt1st's 垃圾回收站

Menu

一次没结果的漏洞分析

对静态代码审计工具的漏洞结果分析漏洞情况,这本身就是一件蛋疼的事,真正的漏洞命中率有多高,理解的都理解了,更何况我也有Fortify,而对这种轻量级的应用,我自己压根都不想用,emmm…吐槽完毕,全程开启高级打码技术。

静态代码评审结果为三类漏洞:危险密码算法,硬编码,空密码漏洞

漏洞路径:packages/apps/LogSystem/src/com/xxx/sdk/cld/analysis/AppNotRespondParser.java

漏洞函数:fetch,在193行

包名:com.xxx.xxx.logsystem

用途:手机系统log收集

平台:Android 8.0

先看看包的结构,classes.dex不见了,

直接反编译只有资源文件,

应用做了官方系统rom的odex优化,也把包的classes.dex删除掉了,而android 8.0是引入了新的vdex文件,那么提取vdex文件反编译,

针对vdex文件的反编译推荐使用https://github.com/anestisb/vdexExtractor

用法:./vdexExtractor -i /test/x.vdex -o /test --deps -f

代码混淆,但翻了下发现了注释,刚好对应上了静态代码评审结果中的漏洞路径,AppNotRespondParser.java,那么就直接定位到了,

漏洞函数是fetch,漏洞位置在193行,继续跟踪, 嗯,对象判读读取,

BGM凉凉…

— 于 共写了614个字
— 文内使用到的标签:

发表评论