移动APP安全在渗透测试中的应用

http://netsecurity.51cto.com/art/201403/433726_all.htm

以往安全爱好者研究的往往是app的本地安全,比如远控、应用破解、信息窃取等等,大多人还没有关注到app服务端的安全问题,于是在这块的安全漏洞非常多。

移动app大多通过web api服务的方式跟服务端交互,这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互,服务器端也是一个展示信息的网站,常见的web漏洞在这也存在,比如说SQL注入、文件上传、中间件/server漏洞等,但是由于部分app不是直接嵌入网页在app中,而是使用的api接口返回josn数据,导致扫描器爬虫无法爬取链接。

下图是抓的糗事百科糗事列表,contet字段内容与我无关 -_-|||

那么我尝试去找app服务端的漏洞,目前想到的两种方法:

1.反编译APP
2.http[s]代理抓包

那么有人应该会提出问题,这两种方式拿到的链接都是零零散散的,也不好找漏洞啊,我这边的利用方式是把所有抓取的链接直接提交任务到多引擎web漏洞扫描器,扫描器可以批量扫SQL注入等等,其实除了这些漏洞,还有很多可以利用的信息。

一、反编译APP

有两种反编译方式,dex2jar和apktool,两个工具反编译的效果是不一样的,dex2jar反编译出java源代码,apktool反编译出来的是java汇编代码。

1. dex2jar反编译

工具:dex2jar+jdgui

方法:

a. 修改apk为zip扩展名

b. 解压出classes.dex文件

c.使用dex2jar反编译(dex2jar.bat classes.dex)

最后反编译出来的源码如下图。虽然部分类被配置proguard.cfg 混淆了,但是还是可以利用的。

2. apktool反编译

工具:apktool

这个工具比较简单,直接(apktool d apkfile)就可以反编译apk文件,反编译出来的东西为smali反汇编代码、res资源文件、assets配置文件、lib库文件,我们可以直接搜索smali文件和资源文件来查找链接等。

利用app查找网站真实IP

除了app服务端的漏洞,还有一个比较好玩的利用方式,通过收集app里面的子域名ip来寻找目标网站的真实IP,根据经验,大多app的接口都没有使用cdn等服务。

糗事百科真实IP

二、http[s]代理抓包

这个方法利用在移动设备上设置代理,通过人工操作使app与服务端交互,

步骤:

a. 在抓包机器上开启代理,测试可以用burp,需要自动化提交扫描任务可以自己写一个代理程序,移动设备设置代理服务器。

b. 在移动设备上操作app,代理端抓取如下。

总结:

整个思路已经很清晰,那么其实要做的就是让这个过程自动化,反编译之后有一个问题,url不一定完整,很多URL都是拼接起来的,我尝试写一套分析引擎,自动化反编译,然后通过对源码的分析,拼接完整的api url,再进行漏洞扫描。

下图是一个dome,后面准备用python来写,放到服务器上。

时间: 2024-10-16 09:36:37

移动APP安全在渗透测试中的应用的相关文章

详述MySQL服务在渗透测试中的利用

本文作者:i春秋签约作家--Binghe 致力于书写ichunqiu社区历史上最长篇最细致最真实的技术复现文章. 文章目录: MySQL之UDF提权 MySQL之MOF提权 MySQL之常规写启动项提权 导出木马到启动项提权 反弹端口提权 MySQL提权综合姿势 part1 mysql之UDF提权 首先什么是UDF? UDF为`User Defined Function`-用户自定义函数,也就是支持用户自定义函数的功能.看这个名字应该就理解了一半了. MySQL是最流行的开放源码SQL数据库管理

渗透测试中的域名伪装

今天在<网络渗透测试--保护网络安全的技术.工具.过程>一书中看到了一个关于对恶意链接进行域名伪装的方法,以前从不知道的一个方法,特此记录下来: 我们通常使用的都是以下这种格式的域名: www.example.com 浏览器在将域名发往dns服务器之前,会先对域名进行第一步处理,这里就涉及到一个隐含的知识:“@”符号 如果在浏览器地址栏中输入一个包含“@”符号的域名,浏览器在发送该域名之前,会自动忽略“@”符号之前的所有内容. 这个应该不算是一个漏洞,大多数浏览器都会包含这种默认的方式.如果我

渗透测试中如何提取Windows系统帐户密码

『面向对象』本篇博文主要面向信息安全渗透测试初级人员以及信息安全攻防技术爱好者,大牛请珍惜生命.自行绕道. 『主要内容』主要介绍在后渗透测试阶段如何利用工具来获取Windows操作系统账号密码. ---------------------------------------菜鸟起飞系列------------------------------------------------ 渗透测试任务:获取Windows系统帐户密码 攻击测试目标:Windows server2003 2008 2012

使用Kali Linux在渗透测试中信息收集

域名注册信息 当你知道目标的域名,你首先要做的就是通过Whoist数据库查询域名的注册信息,Whois数据库是提供域名的注册人信息,包括联系方式,管理员名字,管理员邮箱等等,其中也包括DNS服务器的信息. 关于Whois的介绍请访问:https://www.ietf.org/rfc/rfc3912.txt‍ 默认情况下,Kali已经安装了Whois.你只需要输入要查询的域名即可: #whois baidu.com (部分) 我们可以获取关于百度的DNS服务器信息,域名注册基本信息.这些信息在以后

web渗透测试中WAF绕过讲解(二)基于HTTP协议绕过

0x01 前言 在讲本课的内容之前我们先来了解互联网中的HTTP是什么?        超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议.所有的WWW文件都必须遵守这个标准.设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法.1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基.Ted Nelson组织协

渗透测试中遭遇杀毒软件

最近测试一个项目,提权时遇到了杀毒软件,N多工具都被杀掉了,虽然最后都成功提权了,但是还是或多或少的给我们提权造成了不少的麻烦,尤其是提权成功后使用cain嗅探,cain被秒杀,别提多郁闷了.这里就我提权过程中遇到的两款杀毒软件来进行一下总结,总结一下如何在提权成功后关掉这两款杀毒软件. 1.免密码关掉趋势杀毒软件 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCor

sqlmap在渗透测试中使用方法

前言: 本篇文章只学习sqlmap如何使用请不要对互联网上站点进行攻击测试.环境所用系统为:centos6.6,sqlmap版本为0.9,靶机环境为预先搭建好存在漏洞的站点.实验环境模拟发现测试站点有注入漏洞,使用sqlmap工具进行注入尝试最后脱裤的操作. 实验演示: 测试站点 点击其中分类发现修改id可以直接进行对应页面跳转,由于在域名后添加 "and 1=2"进行测试,结果如下: 我们发现由于程序没有进行相关过滤,当条件为假时,可以控制SQL命令的返回结果,此时可证明发现的SQL

渗透测试中常见的端口

端口合计详情 21 ftp  22 SSH  23 Telnet  80 web  80-89 web  161 SNMP  389 LDAP  443 SSL心脏滴血以及一些web漏洞测试  445 SMB  512,513,514 Rexec  873 Rsync未授权  1025,111 NFS  1433 MSSQL  1521 Oracle:(iSqlPlus Port:5560,7778)  2082/2083 cpanel主机管理系统登陆 (国外用较多)   2222 DA虚拟主机

详述MSSQL服务在渗透测试中的利用 (下篇)

part3 MSSQL写文件 步骤1 sp_makewebtask写文件 因为是`SA`权限,如果目标服务器是web服务器,我们也不用去备份了,可以直接写个一句话木马进去到web目录. 在不知道web目录的情况下我们可以使用以下SQL语句来列目录: exec master.dbo.xp_subdirs 'c:\www\'; `sp_makewebtask`拓展存储过程并不会列出目录下的文件,只会列出目录. 假设`c:\www\`为当前web目录,我们尝试使用以下语句来向该目录写一个名为`test