苏宁豆芽怎样远程操作?客户端控制目标手机可以远程实现(2)

苏宁易购的客户端就属于后者，所以存在远程命令执行的潜在可能，但是需要找到传递给js的object才可以确定。经过反编译查找后发现如下类

苏宁豆芽怎样远程操作？客户端控制目标手机可以远程实现图七

在部分webview中这个类传递给了js，name为“SNNativeClient”。同时还存在其他几个就不在一一赘述。而这个webview正是0x02中我们可控网址的那个webview，这样就构成了命令执行的必要因素了。

测试：在浏览器中访问http://31.220.48.93:28214/sn/ls_0.html 就能跳转到苏宁并列出sd卡的目录如图

苏宁豆芽怎样远程操作？客户端控制目标手机可以远程实现图八

有了命令执行就能够发短信（利用方式

https://github.com/jjkakakk/ajihttpd/blob/master/sms.html）读文件等等，而这些命令的执行权限正好是苏宁易购本身，所以正好能够配合0x03读取用户数据文件

修复方式，使用android的机制，增加JavascriptInterface声明，提高版本。

有了这四个漏洞就能实现前面说的指哪打哪了，这里我们演示远程用户克隆。

根据0x04构造能够读取

苏宁豆芽怎样远程操作？客户端控制目标手机可以远程实现图九

直接通过nc发送到远程机器的exp，安卓中默认有nc。

exp：http://31.220.48.93:28214/sn/rd_1.html(注意修改代码中的目标ip和端口)

在根据0x02构造跳转页面：http://31.220.48.93:28214/sn/rd_0.html

再根据0x01生成苏宁网址：http://m.suning.com/dl/qJdHtSu1.html

将http://m.suning.com/dl/qJdHtSu1.html发送给目标用户，对方打开后收到用户数据文件，然后根据0x03替换后成功克隆账户，如图

苏宁豆芽怎样远程操作？客户端控制目标手机可以远程实现图十

所有html代码和python代码附后

ps:看你还敢不敢随便打开别人发你的链接了！

<上一页12

苏宁豆芽 5.11.0.0 官方版

• 软件性质：国产软件
• 授权方式：免费版
• 软件语言：简体中文
• 软件大小：77063 KB
• 下载次数：1840 次
• 更新时间：2019/9/14 9:47:52
• 运行平台：WinAll...
• 软件描述：苏宁豆芽客户端是一款专为苏宁内部员工聊天而开发的企业聊天软件，苏宁豆芽集终端同步... [立即下载]