漏洞背景雷蛇(razer inc,rλzξr)是一家在新加坡创立的游戏周边设备公司,又被称为“绿光灯厂”,近年开始进军电子消费业务。雷蛇的两个总部分别设立在新加坡及美国圣地牙哥。2017年11月在香港联交所上市,产品面向游戏玩家,其产品大多数都以肉食动物命名。2018年推出电子钱包razer pay。2020年5月,开始生产外科口罩。
在雷蛇支付电子钱包(razer pay ewallet)的请求防篡改机制中,除auth_token之外,还使用了参数signature对不同用户的请求进行签名验证,每一个对服务端的get和post请求都会附带一个经过编码的signature参数值和用户id,如下图所示:
因此,试图对任意请求参数的篡改重发都会无效,但经apk逆向分析发现,雷蛇支付电子钱包(razer pay ewallet)存在用户签名(signature)生成漏洞,结合frida的分析利用可自动计算生成新的用户签名(signature),由此可导致很多的越权(idor)问题。
我在使用burp对雷蛇支付app的网络请求进行抓包时发现,由于请求中用户签名(signature)的保护,所以其中很多参数都是无法篡改的,因此,我第一时间想到了注册另外一个雷蛇支付用户来进行配合测试,但在两个用户的同一请求的场景下,经会话payload的替换操作后,执行无效,原因还是出在有用户签名(signature)的会话请求保护。
我决定切实分析一下用户签名(signature)的生成机制,在apktool 和 jadx-gui 的反编译帮助下,我对其app的运行有了代码层次的理解,发现其中存在一个名为“md5encode”的方法函数,从名字上就知道是用了md5加密算法。经过一些参数payload的组合,我决定尝试一下生成用户签名(signature),但怎么试也无法生成正确的用户签名,我猜想可能是参数次序错误,或它是一种非常规的md5加密。
删除其他用户的绑定银行账户不抛弃不放弃,我把其中涉及用户签名生成的所有相关代码拷贝出来,然后用ide调试工具intellij idea进行尝试生成,终于,在“md5encode”方法运用中,我组合对了正确的参数次序,不过由于有代码混淆,还需要做一些微调,但还算不太难。最终,在之前生成的请求主体中,插入正确的参数值,用上述代码即能生成正确的用户签名(signature)字符串!
(小编分析,在以下多个用户签名的生成过程中,用到了用户自己的token,其为参数之一,然后经md5encode方法,可以生成与多个用户id对应的不同用户签名,也就是可以成功生成雷蛇服务端分配给多个用户的各个用户签名signature)
由此,我首先想到的就是测试越权漏洞(idor),我选择了一个比较敏感的api接口/deletebankaccount,也就是删除用户绑定的银行账户操作,然后在两个账户的测试场景下,竟然能成功删除掉另一雷蛇支付(razer pay)用户的绑定银行账户!
加入其他用户创建的聊天群组到这步,我想肯定还有其它受signature保护的api接口存在idor越权问题,于是我尝试用上述方法去做了一波测试,但毫无发现。而且其它api接口使用了不同代码混淆方法,导致我花费了很多时间去研究分析。没有头绪之时,那就用frida来试试吧,frida是一个非常好用的调试工具,我正好可以用它来识别一些可以hook利用的方法函数,结合上述的md5encode方法,找到正确的电子钱包代码包,同样可以用这些方法函数生成新的正确的用户签名signature。
如以下frida.js代码实现的功能是为当前用户生成的新的用户签名,以加入其他用户创建的聊天群组:
// frida.js - use this for recalculating signature for adding user to other people's chatgroup
console.log(starting...)
java.perform(function () {
var md5 = java.use('com.mol.molwallet.view.md5')
md5.md5encode.implementation = function (arg)
{
console.log(hooking class md5 - method md5encode)
//extra step - calculate new signature
var ret_value = this.md5encode(groupid=1x9&userids=95xxx7&token=b6fxxxd3-2xxc-4xxf-bxx7-7fxxxxa6)
console.log([+] signature= + ret_value)
//call method with original arguments so app doesn't crash ..
var ret_value = this.md5encode(arg) //original value
console.log(original arg: + arg)
return ret_value;
}
})
但是要运行frida,需要root级别的访问,好在我另外发现了一个服务端漏洞可以让攻击者在一台root过的移动设备中执行操作,以下为在移动设备中启动frida服务的命令:
$ adb shell
# sudo su
# /data/local/tmp/frida-server
之后,在另一个终端窗口下,运行以下命令:
$ frida -l frida.js -u com.mol.molwallet
然后,在移动设备中,我打开雷蛇支付app,这其中任何调用到hook方法“md5encode”的操作都将会执行上述的frida.js脚本,最终我就能针对特定用户请求生成有效正确的用户签名signature了,这里的测试用例是,我可以为我自己生成一个用户签名,以它为验证凭据加入其他用户创建的聊天群组中去,这种方式的危害之处在于,可以神不知鬼不觉地加入某个群组,然后获取别人的聊天内容,或点击领取抢掉别人发送的红包。
导致的其它安全问题利用上述方法,我把其它受signature影响的所有api接口都做了测试,发现可以从这些api接口获取用户群组聊天时分享的红包金额,另外还能修改并查看其他用户的转账记录和个人信息。
以上就是如何进行电子钱包app漏洞分析的详细内容。