React Native Application

AWS hacklemeyi sıfırdan kahramanla öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

HackTricks'ı desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
The PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'ı takip edin.
Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.

React Native Uygulama Analizi

Uygulamanın React Native çerçevesi üzerine inşa edilip edilmediğini doğrulamak için aşağıdaki adımları izleyin:

APK dosyasının adını zip uzantısıyla değiştirin ve cp com.example.apk example-apk.zip ve unzip -qq example-apk.zip -d ReactNative komutunu kullanarak yeni bir klasöre çıkarın.
Yeni oluşturulan ReactNative klasörüne gidin ve assets klasörünü bulun. Bu klasörün içinde, React JavaScript'i minify edilmiş bir formatta içeren index.android.bundle dosyasını bulmalısınız.
JavaScript dosyasını aramak için find . -print | grep -i ".bundle$" komutunu kullanın.

JavaScript kodunu daha fazla analiz etmek için aynı dizinde index.html adında bir dosya oluşturun ve aşağıdaki kodu ekleyin:

<script src="./index.android.bundle"></script>

Dosyayı https://spaceraccoon.github.io/webpack-exploder/ adresine yükleyebilirsiniz veya aşağıdaki adımları izleyebilirsiniz:

Google Chrome'da index.html dosyasını açın.
Geliştirici Araç Çubuğunu açmak için OS X için Command+Option+J veya Windows için Control+Shift+J tuşlarına basın.
Geliştirici Araç Çubuğunda "Sources" (Kaynaklar) seçeneğine tıklayın. Ana paketi oluşturan klasörler ve dosyalara bölünmüş bir JavaScript dosyası görmelisiniz.

Eğer index.android.bundle.map adında bir dosya bulursanız, kaynak kodunu minify edilmemiş bir formatta analiz edebilirsiniz. Harita dosyaları, minify edilmiş tanımlayıcıları eşlemek için kaynak eşlemesi içerir.

Hassas kimlik bilgileri ve uç noktaları aramak için aşağıdaki adımları izleyin:

JavaScript kodunu analiz etmek için hassas anahtar kelimeleri belirleyin. React Native uygulamaları genellikle Firebase, AWS S3 hizmet uç noktaları, özel anahtarlar vb. gibi üçüncü taraf hizmetler kullanır.
Bu özel durumda, uygulamanın Dialogflow hizmetini kullandığı gözlemlendi. Onun yapılandırmasıyla ilgili bir desen arayın.
Keşif süreci sırasında JavaScript kodunda hassas sabit kimlik bilgilerinin bulunduğu şanslı bir durum oldu.

Referanslar

https://medium.com/bugbountywriteup/lets-know-how-i-have-explored-the-buried-secrets-in-react-native-application-6236728198f7

AWS hackleme konusunda sıfırdan kahramana kadar öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'i desteklemenin diğer yolları:

Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
Resmi PEASS & HackTricks ürünlerini edinin
Özel NFT'lerden oluşan koleksiyonumuz The PEASS Family'yi keşfedin
💬 Discord grubuna veya telegram grubuna katılın veya bizi Twitter'da 🐦 @carlospolopm** takip edin.**
Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.

PreviousManual DeObfuscation NextReversing Native Libraries

Last updated 2 months ago