ES 文件浏览器安全漏洞分析(CVE-2019-6447)

灰太狼 2022-01-15 18:37 564阅读 0赞

原文地址：[https://paper.seebug.org/831/][https_paper.seebug.org_831]

## 0x00 前言 ##

ES 文件浏览器(ES File Explorer File Manager application)是一款安卓系统上的文件管理器，它支持在手机上浏览、管理文件。有超过 1 亿次下载量，是目前安卓系统上使用得最广的文件管理器。

2019年1月，由国外安全研究者公开一个关于 ES 文件浏览器的安全漏洞(CVE-2019-6447)。

2月下旬，笔者浏览到该漏洞的相关文章，想借此机会学习 APK 逆向，随即对该漏洞进行了复现分析，结合已公开的分析文章，发现原理非常简单，下面就来一探究竟吧。

## 0x01 漏洞概述 ##

ES 文件浏览器在运行时会创建一个绑定在 59777 端口的 HTTP 服务，在该服务提供了 10+ 个命令，用于访问用户手机的数据以及执行应用程序；但该服务并没有对请求进行校验，从而导致出现安全漏洞。

**影响范围**  
<= ES 文件浏览器 v4.1.9.7.4

**修复方式**  
前往应用商城下载最新版即可。修复该漏洞的版本为(v4.1.9.9)

## 0x02 漏洞复现 ##

**漏洞复现环境**

*  Windows 7
 *  OPPO R7
 *  ES 文件浏览器v4.1.9.4
 *  ADB (Android Debug Bridge)

**复现过程**

1.  通过 USB 连接手机与电脑，并打开 USB 调试。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70]

1.  通过 ADB 检查设备连接情况，并安装 ES 文件浏览器v4.1.9.4 到设备上。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 1]

1.  在手机上可以看到 ES 文件浏览器已经安装成功，启动该应用；通过 ADB 查看当前网络端口情况，可以看到 59777 端口已经打开。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 2]

1.  将手机和电脑配置到同一 WIFI 下，便于我们进行访问测试。

![在这里插入图片描述][20190613151019486.png]

1.  构造 HTTP 数据报文，将命令封装至 Json 数据中，请求 59777 端口；这里演示 `getDeviceInfo` 命令，可以看到成功返回了设备的信息。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 3]

## 0x03 漏洞分析 ##

**反编译dex文件**  
对 ES 文件浏览器v4.1.9.4 进行分析，首先将该 APK 进行解压，可以看到其中包含了三个 `*.dex` 文件。使用 dex2jar 工具分别这三个文件进行反编译，得到三个 `*.jar` 文件。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 4]

使用 jd-gui 工具加载这三个 `jar` 文件，使用关键词搜索 `59777`、`command`、`getDeviceInfo` 以快速定位到漏洞逻辑部分，其位于 `classes2-dex2jar.jar` 下的 `com.estrongs.android.f.a` 路径下。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 5]

**ES HTTP支持的指令**

上图中，可以看到除了 `getDeviceInfo` 命令，该 HTTP 服务还支持不少的命令：

<table> 
 <thead> 
  <tr> 
   <th>command</th> 
   <th>description</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>listFiles</td> 
   <td>列出所有的文件</td> 
  </tr> 
  <tr> 
   <td>listPics</td> 
   <td>列出所有的图片</td> 
  </tr> 
  <tr> 
   <td>listVideos</td> 
   <td>列出所有的视频</td> 
  </tr> 
  <tr> 
   <td>listAudios</td> 
   <td>列出所有的音频</td> 
  </tr> 
  <tr> 
   <td>listApps</td> 
   <td>列出安装的应用</td> 
  </tr> 
  <tr> 
   <td>listAppsSystem</td> 
   <td>列出系统自带的应用</td> 
  </tr> 
  <tr> 
   <td>listAppsPhone</td> 
   <td>列出通信相关的应用</td> 
  </tr> 
  <tr> 
   <td>listAppsSdcard</td> 
   <td>列出安装在sd卡上的应用</td> 
  </tr> 
  <tr> 
   <td>listAppsAll</td> 
   <td>列出所有的应用</td> 
  </tr> 
  <tr> 
   <td>getAppThumbnail</td> 
   <td>列出指定应用的图标</td> 
  </tr> 
  <tr> 
   <td>appLaunch</td> 
   <td>启动制定的应用</td> 
  </tr> 
  <tr> 
   <td>appPull</td> 
   <td>从设备上下载应用</td> 
  </tr> 
  <tr> 
   <td>getDeviceInfo</td> 
   <td>获取系统信息</td> 
  </tr> 
 </tbody> 
</table>

除了以上列出的命令，还可以直接访问 `url+系统文件路径`，直接访问文件数据：

curl --header "Content-Type: application/json" http://192.168.0.105:59777/etc/wifi_mos.sh

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 6]

命令执行示例(列出所有的文件)：

curl --header "Content-Type: application/json" --request POST --data "{\"command\":\"listFiles\"}" http://192.168.0.105:59777

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 7]

**命令处理**

其命令处理部分逻辑大致就是进行相应的逻辑处理，并将执行的结果封装为 Json 数据格式，拼接为 HTTP 协议进行返回，下面是 `getDeviceInfo` 的处理逻辑：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 8]

通过以上的功能逻辑可以看到，HTTP 服务是 ES 文件浏览器的一个内置功能，可能是用于不同设备之间的共享，但由于没有对请求进行校验，导致安全问题的出现。

## 0x04 补丁分析 ##

下载已补丁的版本 v4.1.9.9.3，同样对 APK 进行解包，通过 dex2jar 反编译为 `*.jar` 文件，对文件进行分析。

**POST 请求校验**

v4.1.9.9.3 版本可能重新进行了代码混淆，其反编译后的机构和 v4.1.9.4 有很大的差别；我们仍然使用关键词搜索来快速定位到之前的漏洞逻辑部分。位于 `classes3-dex2jar.jar` 下的 `es.qg` 路径下。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 9]

从上图可以看到，标注地方是新版本所添加的补丁，在处理请求时，首先进行检查，检查失败的情况下返回 400 错误。

跟入 `ap.d()` 函数中，可以看到两个关键检查函数：

1.  检查函数1

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 10]

1.  检查函数2

![在这里插入图片描述][20190613151134255.png]

检查函数2依然是对安卓TV的判断，在上一步函数获取了屏幕的尺寸并转换成了一个值，在该处判断值要大于 20，才能返回 `true`。

**Android TV会受到威胁？**

根据以上补丁的情况来看，可以猜测到 Android TV 似乎受到该漏洞的威胁，但实际上并不会。因为 Android TV 处理流程和手机版的不同，本身也不受该漏洞的影响。

将有漏洞的版本(v4.1.9.4)安装至 Android TV 上；经过测试可以发现，在 Android TV 下发起请求将直接返回 `500` 错误。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 11]

原因是程序在判断设备是 TV 时，会首先提前做一次来源 IP 检查(判断是否由是本地发起的请求，检查失败也返回 `500` 错误)，随后再检查可访问的路径，如下函数(`classes3-dex2jar.jar/es.qj$a`)：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 12]

但经过测试，发现该数组的值为 `NULL`，直接返回 `false`

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 13]

最终跳转至该语句，返回 `500` 错误。所以 Android TV 也不会受到该漏洞的影响。

**Get请求列目录修复**

在上文中还提到发送 `GET` 请求可以列文件，在新版本也进行了修复。

![在这里插入图片描述][20190613151217847.png]

当以 `GET` 方式发起请求时，将进入 `ai.bK()` 的函数判断，在该函数中检查了 HTTP 的数据必须以 `http://127.0.0.1:` 开头，才可以返回文件列表；HTTP 协议都是以 `GET/POST/...` 开头，肯定不会以这个方式开头，虽然不太理解这个检查，但还算是解决了列目录的问题。

## 0x05 总结 ##

通过以上的分析，可以完整的了解到 ES 文件浏览器安全漏洞的触发过程以及补丁情况；整体看来就是，开发者在设计共享访问功能的时候忽略对请求的检查，从而导致的安全漏洞。

[https_paper.seebug.org_831]: https://paper.seebug.org/831/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70]: /images/20220115/21512280d0cf40f69384ef62e610b8fe.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 1]: /images/20220115/f0cbcfa2c8d94c768aebb3cfa16897f5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 2]: /images/20220115/4f8e7ec7f51f46a1848ae0f3b5fd6761.png
[20190613151019486.png]: /images/20220115/aaef143eebf74085bc9928723bc65453.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 3]: /images/20220115/ad22e46e37794eb5bf16a1cfb1563eea.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 4]: /images/20220115/ecbd16c0998342c4b0c92ba899f310b2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 5]: /images/20220115/77b457f3f8e7491786846ae4cdf54fdb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 6]: /images/20220115/a3521af6cb8d4c52a23a18ca31373f41.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 7]: /images/20220115/4946c7162b1b49549c31c384819ed6b4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 8]: /images/20220115/b9d7ec2f3cdd48ef94f8b7f951aae2e7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 9]: /images/20220115/f57ceaa166424c4ab74514aaf3a1cd59.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 10]: /images/20220115/2ea0277a97654941b7aebe7c3eb9628a.png
[20190613151134255.png]: /images/20220115/3589ecbda05c4fc9ab2f71c086ec58cd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 11]: /images/20220115/8245654f108a49ed9e505fcddfb2b1c7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 12]: /images/20220115/9172b7470a894ad9b418c936fa4178fa.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NDMwNDY4Ng_size_16_color_FFFFFF_t_70 13]: /images/20220115/9cd9dcedde4347a39db6231a60090c18.png
[20190613151217847.png]: /images/20220115/9ebfe11b408241adaf7207a2566d8ebc.png