React Native Application
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Щоб підтвердити, чи була програма створена на основі фреймворку React Native, виконайте ці кроки:
Перейменуйте файл APK з розширенням zip і витягніть його в нову папку, використовуючи команду cp com.example.apk example-apk.zip
та unzip -qq example-apk.zip -d ReactNative
.
Перейдіть до новоствореної папки ReactNative і знайдіть папку assets. Усередині цієї папки ви повинні знайти файл index.android.bundle
, який містить React JavaScript у мінімізованому форматі.
Використовуйте команду find . -print | grep -i ".bundle$"
для пошуку файлу JavaScript.
Щоб далі проаналізувати код JavaScript, створіть файл з назвою index.html
у тій же директорії з наступним кодом:
Ви можете завантажити файл на https://spaceraccoon.github.io/webpack-exploder/ або дотримуйтесь цих кроків:
Відкрийте файл index.html
у Google Chrome.
Відкрийте панель розробника, натиснувши Command+Option+J для OS X або Control+Shift+J для Windows.
Клацніть на "Sources" у панелі розробника. Ви повинні побачити JavaScript файл, який розділений на папки та файли, що складають основний пакет.
Якщо ви знайдете файл під назвою index.android.bundle.map
, ви зможете проаналізувати вихідний код у немінімізованому форматі. Файли карт містять відображення виходу, що дозволяє вам відображати мінімізовані ідентифікатори.
Щоб знайти чутливі облікові дані та кінцеві точки, дотримуйтесь цих кроків:
Визначте чутливі ключові слова для аналізу JavaScript коду. Додатки React Native часто використовують сторонні сервіси, такі як Firebase, кінцеві точки сервісу AWS S3, приватні ключі тощо.
У цьому конкретному випадку було помічено, що додаток використовує сервіс Dialogflow. Шукайте шаблон, пов'язаний з його конфігурацією.
Було щасливо, що чутливі жорстко закодовані облікові дані були знайдені в JavaScript коді під час процесу розвідки.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)