发现隐藏威胁：我如何使用DAST在Android应用API中发现泄露的AWS凭证

作者：MuhammadKhizerJaved

大家好，欢迎回来！我有一段时间没有写博客了，很高兴能与漏洞赏金社区分享这个最近的发现。在我最近的漏洞赏金狩猎冒险中，我发现了一个关键漏洞，涉及Android应用API中泄露的AWS凭证。这个漏洞有可能导致AWS基础设施被接管。让我们深入了解我如何使用动态应用安全测试（DAST）技术发现这个隐藏威胁。

理解DAST（动态应用安全测试）

什么是DAST？

动态应用安全测试（DAST）是一种通过分析运行状态下的应用程序来测试其安全性的方法。与静态分析（在不执行代码的情况下检查代码）不同，DAST实时与应用程序交互，以识别攻击者可能利用的漏洞。

DAST的优势：

• 真实世界模拟：在应用程序运行时进行测试，提供关于其在真实攻击场景下如何行为的见解
• 全面覆盖：可以识别仅通过静态分析可能不明显的漏洞
• 持续测试：可以集成到CI/CD管道中，实现持续的安全保障

静态分析与动态分析的区别：

• 静态分析（SAST）：检查应用程序的源代码、字节码或二进制代码。它在开发过程早期发现问题很有用
• 动态分析（DAST）：在运行状态下测试应用程序，提供更真实的应用程序在攻击下的性能视图

工具包

为了发现这个漏洞，我使用的工具是移动安全框架（MobSF），这是一个用于移动应用程序的自动化安全测试框架。它支持Android和iOS平台，并提供全面的静态和动态分析功能。

静态分析

在之前的博客文章"黑客攻击公司的SMS API服务提供商|Android应用静态安全分析|漏洞赏金POC"中，我们深入探讨了Android应用静态分析，包括检查源代码中的漏洞，识别不安全的编码实践。

关注动态分析

对于这篇博客文章，我们将重点关注MobSF的动态分析功能。

设置测试环境

在深入探讨发现的漏洞之前，让我们谈谈设置和使用。

准备测试环境

如果您在安装MobSF或设置设备进行动态分析时遇到任何问题，请考虑阅读官方文档https://mobsf.github.io/docs/#/dynamic_analyzer，其中大部分关于设置测试环境的内容都来自那里。

1. 设置MobSF：下载最新标记的MobSF docker镜像

1

docker pull opensecurity/mobile-security-framework-mobsf:latest

2. 设置Android模拟器：设置这些设备来运行应用程序 我通常使用Android Studio模拟器，所以将在这里分享步骤…

• 创建没有Google Play Store的Android虚拟设备（AVD）
• 选择一个镜像，MobSF支持arm、arm64、x86和x86_64架构，Android版本5.0-9.0，最高到API 28
• 不要从Android Studio IDE/AVD管理器UI启动AVD，而是使用模拟器命令从命令行运行AVD
• 将您的Android SDK模拟器目录附加到PATH环境变量

示例位置：

• Mac - /Users/<user>/Library/Android/sdk/emulator
• Linux - /home/<user>/Android/Sdk/emulator
• Windows - C:\Users\<user>\AppData\Local\Android\Sdk\emulator

AVD命令行：

1
2
3
4
5

$ emulator -list-avds
Pixel_2_API_29
Pixel_3_API_28
Pixel_XL_API_24
Pixel_XL_API_25

在启动MobSF之前使用模拟器命令行选项运行AVD：

1

$ emulator -avd Pixel_3_API_28 -writable-system -no-snapshot

• 识别模拟器序列号。在此示例中，标识符是emulator-5554
• 运行MobSF docker镜像时，将MOBSF_ANALYZER_IDENTIFIER设置为emulator-5554

运行MobSF：

1

docker run -it --rm -p 8000:8000 -p 1337:1337 -e MOBSF_ANALYZER_IDENTIFIER=emulator-5554 opensecurity/mobile-security-framework-mobsf:latest

测试过程

MobSF实际上非常易于使用。有一些在线教程和课程您可以遵循来学习如何使用MobSF。

上传和分析

基本上是通过拖放来扫描和分析应用程序。完成后，它将重定向到该应用程序的静态分析页面。

在此页面上，您可以点击"开始动态分析"。

MobSF将在此处启动动态分析模块，界面如下所示：

界面非常易于导航，对于这篇博客，我们将重点关注动态测试组件的活动测试模块。

发现漏洞

在使用MobSF进行动态测试期间，我重点关注应用程序运行时背后发出的请求。为此，我主要使用了活动测试器选项，它的作用是逐个启动所有活动并记录发生的所有事情。

活动完成后，我简单地生成了动态分析报告。

使用动态分析报告页面上的"HTTP(S)流量"按钮，我们可以看到活动启动时背后发出的所有请求。

这将打开文件web_traffic.txt。

搜索泄露

当我通常遵循此路线时，我会在Web流量文件中查找某些关键字，例如：

1
2
3
4
5
6
7
8

Secret
api
key
token
Authorization
AWS
AWSAccessID
AWSSecretKey

我在这里做了同样的事情，这就是我发现的：

因此，当特定活动启动时，应用程序正在向api.target.com/services.svc发出请求，并且在该POST请求的响应中，AWSAccessID和AWSSecretKey被泄露。

为了验证这些泄露的凭证，我使用我的awscli配置了这些凭证，并运行了一些基本命令来验证这些密钥具有的访问权限。

运行命令aws s3 ls显示我可以访问超过65个AWS S3存储桶：

我们甚至可以从存储桶中上传文件和删除文件，这也可能导致子域接管场景。

运行命令aws ec2 describe-instances显示了我有权访问的ec2实例。

影响分析

为了进一步升级POC，我运行了一个脚本，通过查询IAM服务来枚举您的权限，如果这不是一个选项，我们可以暴力破解权限。我尝试使用CLI从所有AWS服务运行所有list*、describe*、get*命令，并指示哪些有效。通过使用这个，我发现我对该AWS账户具有重要的访问权限。

我对该AWS账户的访问权限

在这一点上，我有足够的证据和影响来报告这个漏洞，所以我这样做了。

结论

就是这样，我们探索了如何使用DAST来发现移动应用程序API中的关键漏洞，例如泄露的AWS凭证。通过利用MobSF等工具。希望这篇博客对您有帮助，您学到了一些东西。如果您有任何问题或建议，请随时评论。