老是提交一些撞庫漏洞都給小廠商而且感覺技術含量不高，這次打算找個應用好好研究研究，看到一個經常提供1000禮品卡給力的廠商-蘇寧易購，果斷下載安卓客戶端走起。發現了一些問題綜合起來最后達到的效果就是發送給好友一個蘇寧的鏈接（m.suning.com），對方打開如果對方裝有蘇寧易購客戶端就能夠控制對方，包括克隆對方的賬號，獲得對方手機信息，發短信等等。。

蘇寧豆芽怎樣遠程操作？客戶端控制目標手機可以遠程實現圖一

進入下載

蘇寧豆芽 5.11.0.0 官方版
大小：75.26 MB
日期：2019/9/14 14:58:24
環境：WinXP, Win7, Win8, Win10, WinAll

環境 未root安卓4.2機器和4.2模擬器

0x01 私有短網址生成過程過濾不嚴

蘇寧有自己的短網址生成方式，在用戶分享商品時就會觸發，會按照用戶的id和商品網址生成短網址，過程中會檢測網址中是否包含”suning.com“，包含就可以生成，否則拒絕。這種檢測方式很容易繞過url結尾加上#suning.com就可以

測試地址：http://m.suning.com/dl/qJeA5UsD.html

請求數據包精簡后如下：

蘇寧豆芽怎樣遠程操作？客戶端控制目標手機可以遠程實現圖二

建議修改成首先獲得域名，然后匹配域名后綴。

ps: 某訊在https檢測時也用了類似的方式。。。。。

0x02 Intent接口過濾不嚴

蘇寧易購客戶端提供以下Intent接口

蘇寧豆芽怎樣遠程操作？客戶端控制目標手機可以遠程實現圖三

這個接口提供的一個功能就是使用蘇寧內嵌的瀏覽器打開指定網址，這里依然沒有對目標網址進行過濾。

這個接口調用方式如下

蘇寧豆芽怎樣遠程操作？客戶端控制目標手機可以遠程實現圖四

測試地址：http://31.220.48.93:28214/sn/jm.html 使用安裝有蘇寧易購的手機瀏覽器打開這個網址就會跳轉到蘇寧然后打開烏云，如圖

蘇寧豆芽怎樣遠程操作？客戶端控制目標手機可以遠程實現圖五

建議修復同上

0x03 用戶可被克隆

正常用戶登錄后，數據區會產生比較多的數據，經過反測試發現

蘇寧豆芽怎樣遠程操作？客戶端控制目標手機可以遠程實現圖六

這個文件包含用戶的所有信息，如果能獲得用戶的這個文件就能克隆用戶。測試方式，在A機器上登錄用戶，復制出EbuyPreferences.xml文件。在B機器上打開一次蘇寧易購，然后用剛才的EbuyPreferences.xml覆蓋同名文件，再打開蘇寧易購就已經是A的身份了，修改昵稱發現操作正常，確定有權限。

修復的話匹配機器碼或者mac都可以。

誰有權限跑到別人手機里去復制文件？就算能在別人手機復制文件，但是沒root權限也不能跨應用讀文件，這個似乎不好利用，別急，繼續看。

0x04 遠程命令執行

這個漏洞確實比較早了，具體看這里http://drops.wooyun.org/papers/548。在android 4.2之后就需要在被js調用的方法上強制增加@JavascriptInterface 否則不能調用，但是android同時存在一個妥協的辦法就是如果程序允許在低版本的androd API上運行，則不用遵守@JavascriptInterface這個規則，以為這遠程命令執行漏洞依然存在。

12下一頁>

蘇寧豆芽 5.11.0.0 官方版

• 軟件性質：國產軟件
• 授權方式：免費版
• 軟件語言：簡體中文
• 軟件大小：77063 KB
• 下載次數：1840 次
• 更新時間：2019/9/14 9:47:52
• 運行平臺：WinAll...
• 軟件描述：蘇寧豆芽客戶端是一款專為蘇寧內部員工聊天而開發的企業聊天軟件，蘇寧豆芽集終端同步... [立即下載]