文件名称:LaunchAnyWhere:4.3及以下的一个系统漏洞
文件大小:138KB
文件格式:ZIP
更新时间:2024-06-02 16:23:45
Java
LaunchAnyWhere 4.3及以下的一个系统漏洞 本文仅供安全技术交流,请勿用于不正当的用途,造成的一切后果与本文作者无关. 0x00 前言 最近看了一点儿系统安全相关的东西,想了解一下java序列化反序列化的东西,正好看到LaunchAnyWhere这个比较经典的漏洞,也尝试了一下,触发机制和原理都比较简单,但是危害也不小.所以这里也顺手记下来. 再顺带提一下,这个漏洞在Android4.3之后就失效了~ 0x01 背景知识 1.Android 账户系统 Android2.0中加入了一个新的包android.accounts,该包主要包括了集中式的账户管理API,用以安全地存储和访问认证的令牌和密码,比如,我们的手机存在多个账户,每个账户下面都有不同的信息,甚至每个账户都可以与不同的服务器之间进行数据同步(例如,手机账户中的联系人可以是一个Gmail账户中的通讯录,可联网进行同步