LLeaves Blog | LLeaves的小窝

🗒️基于eBPF实现一个简单的隐蔽脱壳工具-eBPFDexDumper

eBPF作为运行在内核的的一大追踪利器，其有着隐蔽性高，不需要重新编译内核或系统等优点。而在Android平台中，字节码主要在ART虚拟机中被执行，那么其实只需要追踪ART虚拟机执行过程中的一些关键函数即可被动的捕捉到DexFile，从而实现脱壳。因此实现此小Demo，旨在抛砖引玉。该工具可作为FRIDA-DEXDump等被动式脱壳工具的替代，并且有着更好的隐蔽性，完全不需要PTRACE附加调试目标程序或注入动态链接库。但是由于eBPF的局限性，其无法替代FART等基于主动调用的脱壳工具。除此之外，对于代码抽取等情况并未实现，各位大佬有需要可以自行实现。

Android

DexDumper

🗒️LakeCTF At your Service 题解

Binder

AndroidPwn

🗒️PendingIntent-security

CVE

PendingIntent

Frida Interceptor Hook实现原理图

Android

Frida

SystemUI As EvilPiP

之前对Android 悬浮窗覆盖攻击(也属于Activity Hijack Attack(AHA)的一种)有了一个简单的了解，但是其利用较为困难，通常需要申请悬浮窗权限，并且并不是一个完整的攻击链条。看到BlackHat2024的议题**SystemUI As EvilPiP: The Hijacking Attacks on Modern Mobile Devices**后决定沿着这条路继续学习，因此之后的内容大部分内容引用与改议题和参考1 中奇安信的报告。除此之外，在Bypass BAL一节中引入对新爆出画中画漏洞CVE-2024-34737 的说明。

Android

悬浮窗覆盖攻击

Android 悬浮窗覆盖攻击

点击劫持Tapjacking，是一种欺骗用户进行点击的攻击技术，可存在于任何操作系统和浏览器之中，尽管原理简单，对于普通用户危害却极大，是一种容易忽视的安全威胁。Android中的点击劫持原理如图1所示，当出现重要的、需要进行用户确认的安全对话框时，申请悬浮窗权限的恶意APP在受害APP之上进行部分覆盖，显示一个虚假的界面，隐藏了与安全相关的重要提示信息，但并未覆盖正常APP原有的按钮，诱骗用户进行错误地点击操作，点击事件结果最终传递到受害APP，造成严重的安全后果。

Android

悬浮窗覆盖攻击

Magisk Eop本地提权漏洞

Magisk Eop

Android

AndroidPwn

Magisk

CVE-2024-31317 Zygote命令注入提权system分析

编号CVE-2024-31317，该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者（该权限由ADB shell和某些特权应用持有）以任意应用的身份执行任意代码。通过这种方式，攻击者可以读取和写入任何应用的数据，更改大多数系统配置，取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏，这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作，并且在重启后仍然有效。