WooYun.org

需要注意的是该漏洞利用方法是在非root机器上，只需发送一个intent消息便可以控制滴滴打车客户端，也可以发送指定的url链接对滴滴打车客户端进行钓鱼
1. 滴滴打车客户端存在导出组件com.didi.game.activity.GameActivity
2. 该组件会接收extra参数url，注意该参数是攻击者完全可控的，可以发送任意的url

3. 当接收到该url后，WebActivity的initData会接收该Intent发过来并获取WebviewModel类封装后的参数，最终会调用CommonWebviewEx.loadurl对url进行加载

4.关键的地方来了，由于url是完全可控的，所以我们将url设置为我们自己的url，同时注意另一个关键点，滴滴打车使用了addjavascriptinterface接口，并导出了对象DidiJSBridge

5.我们在自己的url对应的html页面中嵌入js代码，该js代码利用该java对象DidiJSBridge进行反射调用shell，这里我简单调用了一个ls -l，当然也可以通过nc等方式进行反向shell连接我的服务器，由于是在滴滴客户端的webview内部加载的，我也具有权限读取/data/data/com.sdu.didi.psnger目录下所有文件发送给我自己的服务器，远控示例代码如下图：

6.intent的启动我是使用drozer发送的命令