ES File Explorer CVE-2019-6447 Analyse de la vuln�rabilit�

Nom de la vuln�rabilit�

ES File Explorer Ouvrir la vuln�rabilit� Port - CVE-2019-6447

Introduction � la vuln�rabilit�

ES File Explorer cr�e un serveur HTTP au d�marrage, le port ouvert local 59777. En construisant l'attaquant peut obtenir les fichiers de t�l�phone de charge utile d�finis par l'utilisateur, installez apk et d'autres op�rations.

Sph�re d'influence

4.1.9.7.4 et au-dessous (certaines versions peuvent ne pas soutenir, peuvent �galement �tre des march�s et applications connexes)

Analyse de la vuln�rabilit�

Fs0c131y � partir des informations donn�es dans l'application de l'incidence sur la version ES CVE-2019-64474.1.9.7.4 est moins, mais l'application ne peut pas tirer profit de la vuln�rabilit� dans certaines versions, telles que Huawei et t�l�charg� du magasin jeu de google ES vous ne pouviez pas reproduire la vuln�rabilit�, la charge utile a �t� envoy� au port 59777 retournera erreur 500 eRREUR, ce qui suit sera une analyse d�taill�e de la vuln�rabilit�.

Analyse d'application 4.1.9.4 version

Ce qui suit est une s�lection de la version 4.1.9.4 des analyses de navigateur de fichiers ES, la version ES peut exploiter cette vuln�rabilit�.

Tout d'abord, l'APK Apr�s avoir d�ball� trouv� trois fichiers DEX.

En bref vu la biblioth�que trouv�e sous l'application lib dans emballeurs pas, peut d�terminer le code correspondant dans classes2.dex dans le d�pistage suivant avec grep 59777.

Apr�s le d�compiler de classses2.dex, commande de la fonction de recherche globale a trouv� des failles dans la classe com / EStrongs / android / f / un �tre, et d�clencher la vuln�rabilit� des com / EStrongs / android / f / A.A.

Il suffit de regarder vers le bas a.class, b.class, c.class peut avoir et la vuln�rabilit� des services concern�s, qui a.class c.class h�rit�.

Le regard de d�posons sur la g�chette ensemble du processus de la vuln�rabilit�, en raison de la confusion dans le code, qu'il est jet� dans jeb ou Smali lu ensemble sont plus laborieux, apr�s quoi nous pourrons commencer � d�placer le programme en cours d'ex�cution lors de l'enregistrement de trace, analyser un fichier de trace Android pour afficher l'appel de fonction pile (en utilisant TraceReader lire).

Le proc�d� d'enregistrement de la trace suivante:

Apr�s le succ�s de Trace DDMS ouvert, nous allons construire la charge utile pour d�clencher la vuln�rabilit�, la vuln�rabilit� sp�cifique voir exploiter la charge utile github (https://github.com/fs0c131y/ESFileExplorerOpenPortVuln).

boucle --header "Content-Type: demande / JSON" POST --request --data "{\" commande \ ": getDeviceInfo}" http: //192.168.137.10: 59777 -vvv

Le fichier traceur jet� TraceReader voir la pile d'appel, se trouve dans le programme entr� com / EStrongs / android / f / c $ a.run () V pour faire face � notre demande, faire attention � instancier un objet de cette classe est en fait a.class au lieu c.class. :

Premier tampon douille de r�ception est alors lu pour extraire des donn�es

Ensuite, le jugement n'est pas poster les donn�es, si la demande est un poste du type de contenu de l'analyse syntaxique, lorsque toutes les pr�analys�e au dernier programme viendra label_189

label_189, effectuer la v2_7 = this.a.a_parse_url_other_data (v9, v10, v11, v6, v7); en outre analyser et ex�cuter la commande correspondante.

Il y a un probl�me, si JEB double-cliquez simplement pour acc�der � la fonction de suivi sera fonction de leur propre classe, et l'appel r�el est vraiment a.class (com / com / EStrongs / android / f / a) fonction a_parse_url_other_data en (ici Je suis confondu avec le nom de la fonction pour renommer le nom de la fonction d'origine est en fait a).

Le chiffre est faux de sauter � la fonction JEB de la position, en fait, nous analysons est a.class en a_parse_url_other_data:

Continuez � suivre vers le bas o� nous venons de commencer une �chappatoire d�clench�e (com / EStrongs / android / f / A.Une):

L'analyse de cet endroit a fait beaucoup d'articles et fait, il n'y a plus beaucoup mentionn�.

Apr�s l'analyse de la commande correspondant � appeler la fonction retourne la fonction correspondant JSON:

Enfin, entrez com / EStrongs / android / f / c $ A.Une (Ljava / lang / String; Ljava / lang / String; Ljava / util / Propri�t�s; Ljava / io / InputStream;) r�ponse V va �crire de nouveau.

La fonction retourne le r�sultat est �crit dans le OutputStream est ensuite retourn�.

Le d�clencheur version ES la vuln�rabilit� de l'ensemble du processus sera g�n�ralement indiqu� ci-dessus.

Il faut faire attention, si ce ne sont pas des applications vuln�rables ES v2_7 est nul �galement entrer this.a ( "500 Internal Server Error", "SERVEUR ERREUR INTERNE :. Serve () a renvoy� une r�ponse nulle" ), en, ce qui est beaucoup ES applications seront appliqu�es sur le march� � 500 cause du rapport d'erreur.

Analyse 4.1.6.6.1 Version

4.1.6.6.1 Les versions suivantes analyseront ES Gestionnaire de fichiers, le fichier Manager version ES ne d�clenche pas avec succ�s la vuln�rabilit�.

Pelotonner un regard direct, une erreur 500.

D�ballage une lecture statique, et essentiellement le code dans le package f, mais plus que beaucoup d'autres classes, a.class est encore le lieu ESHttpServer atteindre.

pelotonner Ensuite, une capture de paquets ce que la pile d'appel.

boucle --header "Content-Type: application / json" POST --request --data "{\" commande \ ": getDeviceInfo}" http :. //192.168.0122: 59777 -vvv

Mauvais un peu plus que la d�couverte d'un certain nombre de fonctions dans cette version de l'ES, il peut �tre fait dans un certain nombre de logique de validation.

code d'analyse statique et trouv� � l'avant de la logique et presque avant l'application, mais apr�s l'ex�cution com.estrongs.android.f.h.a (Ljava / lang / String; Ljava / util / Propri�t�s); V puis appelez bJ.

Avec bj bj v�rifi� et la m�thode ap.a url () D�tecte si l'environnement actuel est dans un environnement WIFI.

Continuez � suivre vers le bas, nous arrivons aux probl�mes! Bp.q () ||! F.e (v8)) &&! F.Un (v8, v2_5) retourne vraie cause flag_object ici, donc le serveur renvoie 500 une valeur nulle.

bq.q () est vraie ou f.e et F.Un dans la logique vrai

Suivi Entrez bq.q (), pour r�pondre � la bp.p () et cw.e () sont vraies.

Le FexApplication.a (). GetSystemService ( "uiMode"). GetCurrentModeType () == 4 �tablie lorsque bp.p () pour vrai, selon les documents officiels uiMode 4 est UI_MODE_TYPE_TELEVISION.

En cw.e la n�cessit� de r�pondre � certaines exigences longueur et la largeur Interface

bool�ennes v0_1 = Math.sqrt (Math.pow ((((double) v0.heightPixels)) * 1 / (((doubles) v0.densityDpi)), 2) + Math.pow ((((double) v0.widthPixels )) * 1 / (((double) v0.densityDpi)), 2)) > ? = 20 vrai: false;

Alors que l'autre f.e (v8), F.Un (v8, v2_5) fonction est responsable de v�rifier notre ip.

En outre, il y a une autre situation o� notre IP est 127.0.0.1 quand flag_object ne peut pas nulle, mais vous devez d'abord remplir les conditions pr�-v4 = null.

Voir v4 = as.bJ (v9), ont dit avant que la fonction est bJ responsable de v�rifier l'URL, et puis nous retournons � bJ trouv� nulle de retour ne semble pas probable, quel que soit v9 uri sera construit avec � / � d�marrer.

Cette demande ES version sur le march�, que ce soit pour aller si ((! Bp.q () ||! Fe (v8)) &&! Fa (v8, v2_5)) ou marcher si (v4! = NULL && comme. I (v4)! = 0) semblent ne peux pas commencer � flag_object = v8_1.a (v9, v10, v11, v6, v7) logique, donc ne serait pas en mesure de d�clencher la vuln�rabilit�, mais peut-�tre il y a d'autres m�thodes pour contourner J'esp�re que nous pouvons ajouter beaucoup.

Documents de r�f�rence

https://www.chainnews.com/articles/873565939043.htm

https://www.52pojie.cn/thread-856993-1-1.html

https://blog.csdn.net/caiqiiqi/article/details/86558862

https://bbs.ichunqiu.com/thread-49689-1-1.html

* L'auteur: xcy_merlin, r�impression s'il vous pla�t pr�ciser de FreeBuf.COM

Route de la soie

Apprenez � conna�tre la Chine

ES File Explorer CVE-2019-6447 Analyse de la vuln�rabilit�