WooYun.org

0x02 漏洞证明：组件暴露漏洞
com.estrongs.android.pop.app.AdbControllerActivity没有保护，本地恶意程序可以通过如下命令启动ES文件浏览器远程管理的FTP服务，同时设置允许访问59777端口Web服务的IP。

dz> run app.activity.start --component com.estrongs.android.pop com.estrongs.android.pop.app.AdbControllerActivity --extra string adbRemoteIp **.**.**.** --extra string adbControlMode start

此时，手机的地址栏将有所提示。

通过这个FTP服务，远程攻击者或无读取外部存储权限的本地恶意app将能够上传下载sdcard中的文件。
有趣的是，ES文件浏览器的这个FTP服务并未限制目录访问，可以跳转到手机中ES文件浏览器有权限访问的任意目录。

上传、下载ES文件浏览器私有目录下的文件

部分文件具有与账户相关的token等敏感信息，例如sapi_system.xml

甚至删除文件

这意味着，本地恶意app可以通过ES文件浏览器暴露组件和FTP服务的配置不当突破android沙箱的限制，使远程或本地攻击者上传、下载甚至删除ES文件浏览器私有目录下的文件，并访问ES文件浏览器有权限访问的任何目录和文件。但由于手机地址栏的提示，用户会有所发觉（当然本地恶意app的攻击可以在用户发觉之前自动化完成），所以这个漏洞暂且不表。
0x03 漏洞证明：远程命令执行漏洞
下面我们回到之前谈论的59777端口，在启动AdbControllerActivity并设置攻击者的可控IP后。用户若发觉FTP服务开启，可以在通知栏中选择停止FTP服务。但无论用户是否选择停止FTP服务，攻击者IP仍在whitelist中，从这个IP仍可以访问59777端口开放的web服务，通过发送{"command":"[命令名]"}的json远程执行命令。
1.命令名为getDeviceInfo，获取手机信息

2.命令名为listFiles，访问http://ip:59777/path，则列出/path目录下的所有文件，可以访问ES文件浏览器有权限访问的任意目录

3.命令名为listPics，获取手机中存储的所有照片信息

同理，命令名为listVideos和listAudios，可获取手机中存储的所有视频和音频信息
4.命令名为listApps，获取手机中的安装应用信息

同理通过listAppsSystem、listAppsPhone、listAppsSdcard、listAppsAll可以获得分类的安装应用信息。
5.命令为appLaunch，发送{“command”:"appLaunch","packageName":包名}，可以启动手机上具有main activity的任意应用。如图，我们成功的在手机上启动了新浪微博。该特性可以结合本地恶意app，启动一个虚假的activity在手机上钓鱼。

6.命令名为appPull，发送{“command”:"appLaunch","packageName":包名}，可以远程获取app安装包。
试验中还发现，如果ES文件浏览器开启远程管理PC、网盘、安卓电视、蓝牙等功能，则这个59777端口可以作为中转桥梁，远程攻击者一旦猜测成功正确的url，可以代为进行远程管理，限于时间，未作进一步的测试。