WooYun.org

凤凰网客户端远程命令执行，这次就以你为跳板了
多个问题串起来达到远程命令执行的目的。
0x00 版本
目标凤凰新闻最新版（fenghuangxinwen_95.apk 4.4.3）
0x01 命令执行
这个版本的凤凰新闻编译的安卓目标版本过低导致命令执行漏洞

minSdkVersion: '9'
  targetSdkVersion: '15'

测试
凤凰新闻阅读普通新闻的时候打开的正好是webview，我们将地址指向poc结果如下

0x02 接口过滤不严&新闻伪造
通常找app提供的接口都是去AndroidManifest.xml文件中找注册的接受类，然后去反编译分析源码，那样有时候反编译不出来，这里我们换个不同的思路。随便打开一个新闻，然后使用分享功能，把分享信息中的URL复制出来，在手机浏览器中打开，你会发现这个时候就会自动跳转到新闻客户端，这个过程其实就是手机浏览器根据网页上的提供的app的本地接口打开app，并且通常情况下都会传递一个数据过去，例如URL。这样也就以为这js中会暴露出这个app的提供的接口的使用方式。
使用这种方式我们发现了如下接口

comifengnewsclient://call?type=doc&id=<URL>

在js中用上面这个地址就会直接跳转到app。其中的URL是一个凤凰新闻的地址（例子：http://api.iclient.ifeng.com/ipadtestdoc?aid=99008381），返回的是一个json，其中包含这个新闻的所有信息。然后这个app就会按照这个json文件把新闻展示在页面上。整个过程完全没有验证URL或者是信息来源。
可用于新闻伪造，中奖信息欺骗等。
测试：
建立两个网页URLA和URLB
在URLA中使用js跳转到comifengnewsclient://call?type=doc&id=URLB。URLB中则返回一个虚假新闻的json，效果如图：

地址：http://31.220.48.93:28214/if/fakenewsjm.html
远程命令执行
你可能已经注意到 返回这个（http://api.iclient.ifeng.com/ipadtestdoc?aid=99008381）包含新闻信息的json中，出现了html标签！这也就以为着这写信息非常有可能是展示在webview中的。首先的想法就是在json的title字段添加js语句，发现不能执行，百思不得其姐！后来突然想到既然能加载图片，那图片的事件呢？果断在之前的字段加上

<img src='1' onerror=\"alert('Well done!');\">

发现弹窗果然如期出现了！这样就好办了，配合之前的命令执行漏洞，直接用onerror执行window.location来跳转到执行页面就行了。
测试：
用安卓浏览器打开http://31.220.48.93:28214/if/ls_0.html就会跳转到凤凰新闻并执行命令
远程执行列sd卡目录并显示：
地址：http://31.220.48.93:28214/if/ls_0.html
然后跳转到app加载http://31.220.48.93:28214/if/new.html的json
这个json中包含下一步跳转的js，最后成功打开http://31.220.48.93:28214/if/ls_1.html并执行命令显示