Category Archives: Java

一种Android沙盒中监控root命令执行的方法 (Enable command logging in Android)

0x01 Root下命令记录的情况

在Android应用中，有各种各样的应用都会去执行命令，很多灰色应用则是调用su去执行一些见不得人的勾当。一般来说执行root命令在framework层会这么做：

public static String execSuCommand(String cmd) throws IOException
    {
        Process process = Runtime.getRuntime().exec("su");
        DataOutputStream os = new DataOutputStream(process.getOutputStream());
        os.writeBytes(cmd+"n");
        os.flush();
        os.writeBytes("exitn");
        os.flush();
        BufferedReader reader = new BufferedReader(new InputStreamReader(
                process.getInputStream()));
        int read;
        char[] buffer = new char[4096];
        StringBuffer output = new StringBuffer();
        while ((read = reader.read(buffer)) > 0) {
            output.append(buffer, 0, read);
        }
        reader.close();
        os.close();
        return output.toString();
    }

当然，在native层直接调用su也可以。那沙盒监控中的需求就来了：如何监控到app执行了什么样的shell命令？
Continue reading →

ACTF-misc300官方writeup

0x01 数据包分析

将数据包 (链接：http://pan.baidu.com/s/1ntrzThB 密码：cbf2)下载下来，在wireshark中打开，看一下statistics和conversations，会看到一大坨http和personal-agent(5555)端口。http看过一遍，基本都是新浪新闻、google搜索ACTF这种，似乎没有什么有价值信息。(X里的wireshark太难看了)
那么5555端口会是什么？大概follow stream一下，玩过android的人应该会意识到这是adb的协议。从数据流大小来看，普通的adb shell命令很难会产生这么多数据，那么要么是adb pull从设备中拖取了什么信息，要么是adb push了什么东西。
再往下翻：，就会发现有意思的东西，安装流量，也就是说流量里是一个完整的安装APK的过程！
Continue reading →