1、ZIP文件目录遍历简介

因为ZIP压缩包文件中允许存在“../”的字符串，攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置，覆盖掉应用原有的文件。如果被覆盖掉的文件是动态链接so、dex或者odex文件，轻则产生本地拒绝服务漏洞，影响应用的可用性，重则可能造成任意代码执行漏洞，危害用户的设备安全和信息安全。比如近段时间发现的“寄生兽”漏洞、海豚浏览器远程命令执行漏洞、三星默认输入法远程代码执行漏洞等都与ZIP文件目录遍历有关。

阿里聚安全的应用漏洞扫描服务，可以检测出应用的ZIP文件目录遍历风险。另外我们发现日本计算机应急响应小组（JPCERT）给出的修复方案存在缺陷。如果使用不当（它提供的示例文档就使用错误），可能起不到防止ZIP文件目录遍历的作用，并且国内有修复方案参考了此方案。

2.1 漏洞原理

在Linux/Unix系统中“../”代表的是向上级目录跳转，有些程序在当前工作目录中处理到诸如用“../../../../../../../../../../../etc/hosts”表示的文件，会跳转出当前工作目录，跳转到到其他目录中。 
Java代码在解压ZIP文件时，会使用到ZipEntry类的getName()方法，如果ZIP文件中包含“../”的字符串，该方法返回值里面原样返回，如果没有过滤掉getName()返回值中的“../”字符串，继续解压缩操作，就会在其他目录中创建解压的文件。

如我们构造的ZIP文件中有如下文件：

进行解压的代码如下，没有对getName进行过滤：

解压操作时的日志：

此ZIP文件存放在SD卡中，想让解压出来的所有文件也存在SD卡中，但是a_poc.txt文件却存在了应用的数据目录中：

此so文件以“../../../../../../../../../../data/data/mobi.mgeek.TunnyBrowser/files/libdolphin.so”的形式存在恶意ZIP文件中。海豚浏览器解压恶意ZIP文件后，重新的libdolphin.so就会覆盖掉原有的so文件，重新运行海豚浏览器会弹出Toast提示框：

能弹出Toast说明也就可以执行其他代码。

这里分析下此漏洞产生的原因是： 
1、主题文件其实是一个ZIP压缩包，从服务器下载后进行解压，但是解压时没有过滤getName()返回的字符串中是否有“../”：

2、动态链接库文件libdolphin.so，并没有放在应用数据的lib目录下，而是放在了files目录中：

加载使用的地方是com.dolphin.browser.search.redirect包中的SearchRedirector：

应用使用的是System.load()来加载libdolphin.so而非System.loadLibrary()，在Android中，System.loadLibrary()是从应用的lib目录中加载.so文件，而System.load()是用某个.so文件的绝对路径加载，这个.so文件可以不在应用的lib目录中，可以在SD卡中，或者在应用的files目录中，只要应用有读的权限目录中即可。

在files目录中，应用具有写入权限，通过网络中间人攻击，同时利用ZIP文件目录遍历漏洞，替换掉文件libdolphin.so，达到远程命令执行的目的。

应用的lib目录是软链接到了/data/app-lib/应用目录，如果libdolphin.so文件在lib目录下就不会被覆盖了，第三方应用在执行时没有写入/data/app-lib目录的权限：

但是在JPCERT给出的示例代码中，对validateFilename()的调用对于APP来说不会达到防止任意目录遍历的目的：

其使用“.”，作为要解压到的目的目录，“.”表示当前目录，经测试APP进程的当前工作目录是根目录“/”：

如下的Demo，如果采用JPCERT示例中validateFilename(entry.genName(), “.”)的调用方式，还是会产生目录遍历读到系统配置文件：

读到的hosts文件内容：

正确的调用validateFilename()形式是传入的要解压到的目的目录不要用“.”，而是指定一个绝对路径。

4、阿里聚安全对开发者建议

1 对重要的ZIP压缩包文件进行数字签名校验，校验通过才进行解压。 
2 检查Zip压缩包中使用ZipEntry.getName()获取的文件名中是否包含”../”或者”..”，检查”../”的时候不必进行URI Decode（以防通过URI编码”..%2F”来进行绕过），测试发现ZipEntry.getName()对于Zip包中有“..%2F”的文件路径不会进行处理。 
3 在应用上线前使用阿里聚安全的安全扫描服务，尽早发现应用的安全风险。

阿里聚安全扫描器建议修复方案： 
在使用java.util.zip包中ZipInputStream类的进行解压操作时，进行检查，示例如下：

也可以使用java.util.zip包中的ZipFile类，直接读取Zip包中的所有entries，然后检查getName()的返回值是否包含“../”：

5、参考

[1] https://www.jpcert.or.jp/present/2014/20140910android-sc.pdf

[2] 《海豚浏览器与水星浏览器远程代码执行漏洞详解》http://drops.wooyun.org/mobile/8293

[3] 《影响数千万APP的安卓APP“寄生兽”漏洞技术分析》http://drops.wooyun.org/mobile/6910

[4] 《三星默认输入法远程代码执行》http://drops.wooyun.org/papers/6632

[5] http://www.oracle.com/technetwork/articles/java/compress-1565076.html

[6] http://*.com/questions/1099300/whats-the-difference-between-getpath-getabsolutepath-and-getcanonicalpath

[7] http://*.com/questions/7016391/difference-between-system-load-and-system-loadlibrary-in-java

6、Android安全开发系列

目录

Android安全开发之Provider组件安全

Android安全开发之浅谈密钥硬编码

Android安全开发之浅谈网页打开APP

Android应用安全开发之浅谈加密算法的坑

作者：伊樵、呆狐@阿里聚安全，更多安全技术文章，请访问阿里聚安全博客

Android安全开发之ZIP文件目录遍历的更多相关文章

1. Android 安全开发之 ZIP 文件目录遍历

   1.ZIP文件目录遍历简介 因为ZIP压缩包文件中允许存在"../"的字符串,攻击者可以利用多个"../"在解压时改变ZIP包中某个文件的存放位置,覆盖掉应用原 ...

2. Android混合开发之WebViewJavascriptBridge实现JS与java安全交互

   前言: 为了加快开发效率,目前公司一些功能使用H5开发,这里难免会用到Js与Java函数互相调用的问题,这个Android是提供了原生支持的,不过存在安全隐患,今天我们来学习一种安全方式来满足Js与j ...

3. Android混合开发之WebView与Javascript交互

   前言: 最近公司的App为了加快开发效率选择了一部分功能采用H5开发,从目前市面的大部分App来讲,大致分成Native App.Web App.Hybrid App三种方式,个人觉得目前以Hybri ...

4. Android混合开发之WebView使用总结

   前言: 今天修改项目中一个有关WebView使用的bug,激起了我总结WebView的动机,今天抽空做个总结. 混合开发相关博客: Android混合开发之WebView使用总结 Android混合开 ...

5. Android驱动开发之Hello实例

   Android驱动开发之Hello实例:   驱动部分 modified:   kernel/arch/arm/configs/msm8909-1gb_w100_hd720p-perf_defconf ...

6. Android安全开发之WebView中的地雷

   Android安全开发之WebView中的地雷 0X01 About WebView 在Android开发中,经常会使用WebView来实现WEB页面的展示,在Activiry中启动自己的浏览器,或者 ...

7. android软件开发之webView.addJavascriptInterface循环渐进【二】

   本篇文章由:http://www.sollyu.com/android-software-development-webview-addjavascriptinterface-cycle-of-gra ...

8. android软件开发之webView.addJavascriptInterface循环渐进【一】

   本篇文章由:http://www.sollyu.com/android-software-development-webview-addjavascriptinterface-cycle-of-gra ...

9. Android NDK开发之C调用Java及原生代码断点调试（二）

   上一篇中,我们主要学习了Java调用本地方法,并列举了两大特殊实例来例证我们的论据,还没学习的伙伴必须先去阅读下,本次的学习是直接在上一篇的基础上进行了.点击:Android NDK开发之从Java与 ...

随机推荐

1. Lambert（朗伯）光照模型 和Half Lambert的区别

   Lambert-它不包括任何任何镜面属性,对粗糙物体来说,这项属性是非常有用的,它不会反射出周围的环境.Lambert材质可以是透明的,在光线追踪渲染中发生折射,但是如果没有镜面属性,该类型就不会发生 ...

2. 【Java基础】泛型

   Num1:请不要在新代码中使用原生类型 泛型类和接口统称为泛型.每种泛型定义一组参数化的类型,构成格式是:类或接口名称,接着用<>把对应于泛型形式类型的参数的实际参数列表括起来.比如:Li ...

3. CF723D&period; Lakes in Berland&lbrack;DFS floodfill&rsqb;

   D. Lakes in Berland time limit per test 2 seconds memory limit per test 256 megabytes input standard ...

4. 【Zeyphr】分页查询与修改

   分页查询: return this.GetDynamicListWithPaging(ParamQuery.Instance() .From("P_Resume") .AndWhe ...

5. Spark Shell &amp&semi; Spark submit

   Spark 的 shell 是一个强大的交互式数据分析工具. 1. 搭建Spark 2. 两个目录下面有可执行文件: bin  包含spark-shell 和 spark-submit sbin 包含 ...

6. 如何启动Service，如何停用Service（转）

   如何启用Service,如何停用Service Android中的服务和windows中的服务是类似的东西,服务一般没有用户操作界面,它运行于系统中不容易被用户发现,可以使用它开发如监控之类的程序.服 ...

7. C&plus;&plus; Primer 学习笔记&lowbar;41&lowbar;STL实践与分析（15）--先来看看算法【下一个】

   STL实践与分析 --初窥算法[下] 一.写容器元素的算法 一些算法写入元素值.在使用这些算法写元素时一定要当心.必须.写入输入序列的元素 写入到输入序列的算法本质上是安全的--仅仅会写入与指定输入范 ...

8. 判断pdf、word文档、图片等文件类型（格式）、大小的简便方法

   判断pdf.word文档.图片等文件类型(格式).大小的简便方法 很久没发文了,今天有时间就写一下吧. 关于上传文件,通常我们都需要对其进行判断,限制上传的类型,如果是上传图片,我们甚至会把图片转化成 ...

9. GitHub下载提速

   通过修改hosts文件来提速(该方法也可加速其他因为CDN被屏蔽导致访问慢的网站) 第一步:获取GitHub的IP地址 通过访问:http://tool.chinaz.com/dns或者https:/ ...

10. ubuntu上安装boost库

    只需一条命令: sudo apt install libboost-dev