Android Applications Pentesting
Last updated
Last updated
学习和实践 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习和实践 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激和挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 了解最新的漏洞赏金发布和重要平台更新
今天就加入我们的 Discord,与顶尖黑客开始合作!
强烈建议您开始阅读此页面,以了解与 Android 安全性和 Android 应用程序中最危险组件相关的 最重要部分:
Android Applications Basics这是您连接到 Android 设备(模拟或物理)所需的主要工具。 ADB 允许从计算机通过 USB 或 网络 控制设备。此工具使 文件 双向 复制、安装 和 卸载 应用程序、执行 shell 命令、备份 数据、读取 日志等功能成为可能。
查看以下 ADB 命令 列表,了解如何使用 adb。
有时修改 应用程序代码 以访问 隐藏信息(可能是经过良好混淆的密码或标志)是很有趣的。然后,反编译 apk、修改代码并重新编译可能会很有趣。 在本教程中,您可以 学习如何反编译 APK,修改 Smali 代码并重新编译 APK,以实现新功能。这在 动态分析 中作为多种测试的 替代方案 可能非常有用。然后,始终记住这个可能性。
从设备提取 APK:
使用 APKEditor 合并所有拆分和基础 APK:
首先,分析 APK 时,您应该查看 Java 代码,使用反编译器。 请在这里阅读有关不同可用反编译器的信息。
仅查看 APK 的字符串,您可以搜索密码、URL(https://github.com/ndelphit/apkurlgrep)、api 密钥、加密、蓝牙 UUID、令牌以及任何有趣的内容……甚至查找代码执行的后门或身份验证后门(硬编码的管理员凭据)。
Firebase
特别注意firebase URL,并检查其是否配置不当。有关 Firebase 的更多信息以及如何利用它,请点击这里。
检查应用程序的 _Manifest.xml** 和 **strings.xml_** 文件可以揭示潜在的安全漏洞**。这些文件可以通过反编译器访问,或通过将 APK 文件扩展名重命名为 .zip 然后解压缩来访问。
从 Manifest.xml 中识别出的漏洞包括:
可调试应用程序:在 Manifest.xml 文件中设置为可调试(debuggable="true"
)的应用程序存在风险,因为它们允许连接,可能导致被利用。有关如何利用可调试应用程序的进一步理解,请参考有关在设备上查找和利用可调试应用程序的教程。
备份设置:对于处理敏感信息的应用程序,android:allowBackup="false"
属性应明确设置,以防止通过 adb 进行未经授权的数据备份,特别是在启用 USB 调试时。
网络安全:res/xml/ 中的自定义网络安全配置(android:networkSecurityConfig="@xml/network_security_config"
)可以指定安全细节,如证书固定和 HTTP 流量设置。一个例子是允许特定域的 HTTP 流量。
导出活动和服务:在清单中识别导出的活动和服务可以突出可能被滥用的组件。在动态测试期间的进一步分析可以揭示如何利用这些组件。
内容提供者和文件提供者:暴露的内容提供者可能允许未经授权访问或修改数据。文件提供者的配置也应受到审查。
广播接收器和 URL 方案:这些组件可能被利用进行攻击,特别注意如何管理 URL 方案以防止输入漏洞。
SDK 版本:minSdkVersion
、targetSDKVersion
和 maxSdkVersion
属性指示支持的 Android 版本,强调出于安全原因不支持过时、易受攻击的 Android 版本的重要性。
从 strings.xml 文件中,可以发现敏感信息,如 API 密钥、自定义模式和其他开发者注释,强调了对这些资源进行仔细审查的必要性。
Tapjacking 是一种攻击,其中恶意 应用程序被启动并定位在受害者应用程序的顶部。一旦它可见地遮挡了受害者应用程序,其用户界面被设计成欺骗用户与之交互,同时将交互传递给受害者应用程序。 实际上,它是让用户无法知道他们实际上是在对受害者应用程序执行操作。
在这里找到更多信息:
Tapjacking一个活动的**launchMode
** 设置为 singleTask
且没有定义任何 taskAffinity
是易受任务劫持的。这意味着,一个应用程序可以被安装,如果在真实应用程序之前启动,它可能会劫持真实应用程序的任务(因此用户将与恶意应用程序交互,以为自己在使用真实的应用程序)。
更多信息在:
Android Task Hijacking内部存储
在 Android 中,存储在内部存储中的文件设计为仅由创建它们的应用程序访问。此安全措施由 Android 操作系统强制执行,通常足以满足大多数应用程序的安全需求。然而,开发人员有时会使用 MODE_WORLD_READABLE
和 MODE_WORLD_WRITABLE
等模式来允许文件在不同应用程序之间共享。然而,这些模式并不限制其他应用程序(包括潜在的恶意应用程序)对这些文件的访问。
静态分析:
确保仔细审查 MODE_WORLD_READABLE
和 MODE_WORLD_WRITABLE
的使用。这些模式可能会暴露文件给意外或未经授权的访问。
动态分析:
验证应用程序创建的文件上设置的权限。具体来说,检查是否有任何文件被设置为全球可读或可写。这可能构成重大安全风险,因为这将允许任何安装在设备上的应用程序,无论其来源或意图如何,读取或修改这些文件。
外部存储
处理外部存储上的文件(如 SD 卡)时,应采取某些预防措施:
可访问性:
外部存储上的文件是全球可读和可写的。这意味着任何应用程序或用户都可以访问这些文件。
安全问题:
鉴于访问的便利性,建议不要在外部存储上存储敏感信息。
外部存储可以被任何应用程序移除或访问,使其安全性降低。
处理来自外部存储的数据:
始终对从外部存储检索的数据执行输入验证。这至关重要,因为数据来自不受信任的来源。
强烈不建议在外部存储上存储可执行文件或类文件以进行动态加载。
如果您的应用程序必须从外部存储检索可执行文件,请确保这些文件在动态加载之前经过签名和加密验证。此步骤对于维护应用程序的安全完整性至关重要。
外部存储可以在 /storage/emulated/0
、/sdcard
、/mnt/sdcard
中访问。
从 Android 4.4(API 17)开始,SD 卡具有目录结构,这限制了应用程序对特定于该应用程序的目录的访问。这防止恶意应用程序获得对其他应用程序文件的读写访问。
以明文存储的敏感数据
共享首选项:Android 允许每个应用程序轻松地在路径 /data/data/<packagename>/shared_prefs/
中保存 xml 文件,有时可以在该文件夹中找到明文的敏感信息。
数据库:Android 允许每个应用程序轻松地在路径 /data/data/<packagename>/databases/
中保存 sqlite 数据库,有时可以在该文件夹中找到明文的敏感信息。
接受所有证书
出于某种原因,有时开发人员会接受所有证书,即使例如主机名与以下代码行不匹配:
一个好的测试方法是尝试使用一些代理(如 Burp)捕获流量,而不在设备内授权 Burp CA。此外,您还可以使用 Burp 为不同的主机名生成证书并使用它。
糟糕的密钥管理流程
一些开发者将敏感数据保存在本地存储中,并使用在代码中硬编码/可预测的密钥进行加密。这是不应该这样做的,因为一些反向工程可能允许攻击者提取机密信息。
使用不安全和/或过时的算法
开发者不应该使用过时的算法来执行授权检查、存储或发送数据。这些算法包括:RC4、MD4、MD5、SHA1……如果哈希用于存储密码,例如,应该使用带盐的抗暴力破解哈希。
建议混淆 APK,以增加攻击者的反向工程难度。
如果应用程序是敏感的(如银行应用),它应该执行自己的检查以查看手机是否已被root并采取相应措施。
如果应用程序是敏感的(如银行应用),它应该检查是否正在使用模拟器。
如果应用程序是敏感的(如银行应用),它应该在执行之前检查自身的完整性以确认是否被修改。
使用 APKiD 检查构建 APK 时使用的编译器/打包器/混淆器
阅读以下页面以了解如何轻松访问 React 应用程序的 JavaScript 代码:
React Native Application阅读以下页面以了解如何轻松访问 Xamarin 应用程序的 C# 代码:
Xamarin Apps根据这篇 博客文章,超级打包是一种将应用程序内容压缩为单个文件的 Meta 算法。博客讨论了创建一个解压缩此类应用程序的应用的可能性……以及一种更快的方法,即执行应用程序并从文件系统中收集解压缩的文件。
工具 mariana-trench 能够通过扫描应用程序的代码来发现漏洞。该工具包含一系列已知源(指示工具用户控制输入的地方)、汇(指示工具危险的地方,恶意用户输入可能造成损害)和规则。这些规则指示源-汇的组合,表明存在漏洞。
凭借这些知识,mariana-trench 将审查代码并找到可能的漏洞。
应用程序可能包含秘密(API 密钥、密码、隐藏的 URL、子域名……),您可能能够发现。您可以使用工具如 https://github.com/dwisiswant0/apkleaks
代码执行:Runtime.exec(), ProcessBuilder(), native code:system()
发送短信:sendTextMessage, sendMultipartTestMessage
声明为 native
的本地函数:public native, System.loadLibrary, System.load
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激与挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 了解最新的漏洞赏金计划和重要平台更新
加入我们 Discord,今天就开始与顶级黑客合作!
首先,您需要一个可以安装应用程序和所有环境(主要是 Burp CA 证书、Drozer 和 Frida)的环境。因此,强烈建议使用已 root 的设备(无论是模拟的还是非模拟的)。
您可以在 https://appetize.io/ 创建一个免费账户。该平台允许您上传和执行 APK,因此它对于查看 APK 的行为非常有用。
您甚至可以在网页上查看应用程序的日志并通过adb连接。
通过 ADB 连接,您可以在模拟器中使用Drozer和Frida。
Android Studio(您可以创建x86和arm设备,并且根据这个最新的 x86 版本支持 ARM 库,无需使用慢速的 arm 模拟器)。
在此页面学习如何设置:
Genymotion (免费版:个人版,您需要创建一个账户。_建议下载带有VirtualBox的版本,以避免潜在错误。)
Nox(免费,但不支持 Frida 或 Drozer)。
创建新模拟器时,请记住屏幕越大,模拟器运行越慢。因此,如果可能,请选择小屏幕。
要在 Genymotion 中安装 Google 服务(如 AppStore),您需要单击以下图像中红色标记的按钮:
此外,请注意在 Genymotion 的Android VM 配置中,您可以选择桥接网络模式(如果您将从不同的 VM 连接到 Android VM,这将非常有用)。
您需要激活调试选项,如果您能root它,那就更好了:
设置。
(从 Android 8.0 开始)选择系统。
选择关于手机。
按构建号 7 次。
返回,您将找到开发者选项。
一旦您安装了应用程序,您首先应该尝试它并调查它的功能、工作原理,并熟悉它。 我建议使用 MobSF 动态分析 + pidcat 进行此初步动态分析,这样我们就可以在 MobSF 捕获大量有趣的数据时了解应用程序的工作原理,您可以稍后查看这些数据。
日志记录
开发者应谨慎公开调试信息,因为这可能导致敏感数据泄露。建议使用工具 pidcat 和 adb logcat
监控应用程序日志,以识别和保护敏感信息。Pidcat因其易用性和可读性而受到青睐。
请注意,从Android 4.0 及更高版本开始,应用程序只能访问自己的日志。因此,应用程序无法访问其他应用的日志。 无论如何,仍然建议不要记录敏感信息。
复制/粘贴缓冲区缓存
Android 的基于剪贴板的框架使应用程序能够实现复制粘贴功能,但也带来了风险,因为其他应用程序可以访问剪贴板,可能会暴露敏感数据。对于应用程序的敏感部分(如信用卡详细信息),至关重要的是禁用复制/粘贴功能,以防止数据泄露。
崩溃日志
如果应用程序崩溃并保存日志,这些日志可能会帮助攻击者,特别是当应用程序无法被反向工程时。为了降低此风险,避免在崩溃时记录日志,如果必须通过网络传输日志,请确保通过 SSL 通道发送以确保安全。
作为渗透测试者,请尝试查看这些日志。
发送给第三方的分析数据
应用程序通常集成 Google Adsense 等服务,由于开发者的不当实现,可能会无意中泄露敏感数据。为了识别潜在的数据泄露,建议拦截应用程序的流量并检查是否有任何敏感信息被发送到第三方服务。
大多数应用程序将使用内部 SQLite 数据库来保存信息。在渗透测试期间,请查看创建的数据库、表和列的名称以及所有保存的数据,因为您可能会发现敏感信息(这将是一个漏洞)。
数据库应位于 /data/data/the.package.name/databases
,如 /data/data/com.mwr.example.sieve/databases
如果数据库保存机密信息并且是加密的,但您可以在应用程序中找到密码,这仍然是一个漏洞。
使用 .tables
枚举表,使用 .schema <table_name>
枚举表的列。
来自 Drozer 文档:Drozer 允许您假设 Android 应用程序的角色并与其他应用程序交互。它可以做任何已安装应用程序可以做的事情,例如利用 Android 的进程间通信(IPC)机制并与底层操作系统交互。 Drozer 是一个有用的工具,可以利用导出活动、导出服务和内容提供者,您将在以下部分中学习。
如果您想刷新 Android 活动的概念,请阅读此文。
还要记住,活动的代码从**onCreate
** 方法开始。
授权绕过
当活动被导出时,您可以从外部应用程序调用其界面。因此,如果导出一个包含敏感信息的活动,您可以绕过访问它的认证机制。
您还可以从 adb 启动导出活动:
包名是 com.example.demo
导出活动名称是 com.example.test.MainActivity
注意:MobSF会将使用_singleTask/singleInstance_作为活动中的android:launchMode
视为恶意,但由于这个,显然这在旧版本(API版本<21)中才是危险的。
请注意,授权绕过并不总是一个漏洞,这取决于绕过的工作方式和暴露的信息。
敏感信息泄露
活动也可以返回结果。如果你设法找到一个导出且未保护的活动调用**setResult
方法并返回敏感信息**,则存在敏感信息泄露。
如果没有防止tapjacking,你可能会滥用导出的活动使用户执行意外操作。有关什么是Tapjacking的更多信息,请访问此链接。
如果你想刷新什么是内容提供者,请阅读此内容。 内容提供者基本上用于共享数据。如果一个应用程序有可用的内容提供者,你可能能够提取敏感数据。测试可能的SQL注入和路径遍历也很有趣,因为它们可能存在漏洞。
如果你想刷新什么是服务,请阅读此内容。
请记住,服务的操作始于方法onStartCommand
。
服务基本上是可以接收数据、处理它并返回(或不返回)响应的东西。因此,如果一个应用程序导出了一些服务,你应该检查其代码以了解它在做什么,并动态测试以提取机密信息、绕过身份验证措施... 了解如何使用Drozer利用服务。
如果你想刷新什么是广播接收器,请阅读此内容。
请记住,广播接收器的操作始于方法onReceive
。
广播接收器将等待某种类型的消息。根据接收器如何处理消息,它可能会存在漏洞。 了解如何使用Drozer利用广播接收器。
你可以手动查找深度链接,使用像MobSF这样的工具或像这个的脚本。 你可以使用adb或浏览器打开声明的方案:
请注意,您可以省略包名,手机将自动调用应该打开该链接的应用程序。
代码执行
为了找到将在应用中执行的代码,请转到由深度链接调用的活动,并搜索函数**onNewIntent
**。
敏感信息
每次找到深度链接时,请检查它是否通过 URL 参数接收敏感数据(如密码),因为任何其他应用程序都可能冒充深度链接并窃取该数据!
路径中的参数
您还必须检查任何深度链接是否在 URL 的路径中使用参数,例如:https://api.example.com/v1/users/{username}
,在这种情况下,您可以强制路径遍历,访问类似于:example://app/users?username=../../unwanted-endpoint%3fparam=value
。
请注意,如果您在应用程序中找到正确的端点,您可能能够导致开放重定向(如果路径的一部分用作域名),账户接管(如果您可以在没有 CSRF 令牌的情况下修改用户详细信息,并且漏洞端点使用了正确的方法)以及任何其他漏洞。更多信息在这里。
更多示例
一个有趣的漏洞赏金报告关于链接(/.well-known/assetlinks.json)。
证书并不总是被 Android 应用程序正确检查。这些应用程序常常忽视警告,接受自签名证书,或者在某些情况下,恢复使用 HTTP 连接。
SSL/TLS 握手期间的协商有时较弱,使用不安全的密码套件。此漏洞使连接容易受到中间人(MITM)攻击,允许攻击者解密数据。
私密信息泄露是一个风险,当应用程序通过安全通道进行身份验证,但随后在其他交易中通过非安全通道进行通信。这种方法未能保护敏感数据,例如会话 cookie 或用户详细信息,免受恶意实体的拦截。
我们将重点关注证书验证。必须验证服务器证书的完整性以增强安全性。这一点至关重要,因为不安全的 TLS 配置和通过未加密通道传输敏感数据可能会带来重大风险。有关验证服务器证书和解决漏洞的详细步骤,此资源提供了全面的指导。
SSL 钉扎是一种安全措施,应用程序将服务器的证书与存储在应用程序内部的已知副本进行验证。这种方法对于防止 MITM 攻击至关重要。强烈建议处理敏感信息的应用程序实施 SSL 钉扎。
要检查 HTTP 流量,必须安装代理工具的证书(例如,Burp)。如果不安装此证书,加密流量可能无法通过代理可见。有关安装自定义 CA 证书的指南,请点击这里。
针对API Level 24 及以上的应用程序需要修改网络安全配置以接受代理的 CA 证书。这一步对于检查加密流量至关重要。有关修改网络安全配置的说明,请参考此教程。
当实施 SSL 钉扎时,绕过它变得必要以检查 HTTPS 流量。为此有多种方法可用:
自动修改 apk以绕过 SSLPinning,使用apk-mitm。此选项的最大优点是,您无需 root 即可绕过 SSL 钉扎,但您需要删除应用程序并重新安装新版本,这并不总是有效。
您可以使用Frida(下面讨论)来绕过此保护。这里有一个使用 Burp+Frida+Genymotion 的指南:https://spenkk.github.io/bugbounty/Configuring-Frida-with-Burp-and-GenyMotion-to-bypass-SSL-Pinning/
您还可以尝试使用objection自动绕过 SSL 钉扎:objection --gadget com.package.app explore --startup-command "android sslpinning disable"
您还可以尝试使用MobSF 动态分析(下面解释)自动绕过 SSL 钉扎
如果您仍然认为有一些流量未被捕获,您可以尝试使用 iptables 将流量转发到 burp。阅读此博客:https://infosecwriteups.com/bypass-ssl-pinning-with-ip-forwarding-iptables-568171b52b62
在应用程序中搜索常见的网络漏洞也很重要。有关识别和缓解这些漏洞的详细信息超出了本摘要的范围,但在其他地方有广泛的覆盖。
Frida是一个动态插桩工具包,供开发人员、逆向工程师和安全研究人员使用。 您可以访问正在运行的应用程序并在运行时挂钩方法以更改行为、更改值、提取值、运行不同的代码... 如果您想对 Android 应用程序进行渗透测试,您需要知道如何使用 Frida。
学习如何使用 Frida:Frida 教程
一些用于 Frida 操作的“GUI”: https://github.com/m0bilesecurity/RMS-Runtime-Mobile-Security
Ojection 非常适合自动化使用 Frida:https://github.com/sensepost/objection , https://github.com/dpnishant/appmon
您可以在这里找到一些很棒的 Frida 脚本:https://codeshare.frida.re/
尝试通过加载 Frida 绕过反调试/反 Frida 机制,如https://erfur.github.io/blog/dev/code-injection-without-ptrace中所示(工具linjector)
检查应用程序是否在内存中存储不应存储的敏感信息,例如密码或助记符。
使用Fridump3,您可以转储应用程序的内存:
这将把内存转储到 ./dump 文件夹中,在那里你可以使用类似的 grep:
在Android中,Keystore是存储敏感数据的最佳位置,然而,拥有足够权限的情况下仍然可以访问它。由于应用程序倾向于在此处存储明文敏感数据,因此pentests应以root用户身份进行检查,否则拥有物理访问权限的人可能能够窃取这些数据。
即使应用程序将数据存储在keystore中,数据也应该是加密的。
要访问keystore中的数据,可以使用此Frida脚本:https://github.com/WithSecureLabs/android-keystore-audit/blob/master/frida-scripts/tracer-cipher.js
使用以下 Frida 脚本,可能可以 绕过指纹认证,Android 应用程序可能会执行此操作以 保护某些敏感区域:
当您将应用程序置于后台时,Android 会存储应用程序的 快照,因此当它恢复到前台时,它会在应用程序之前开始加载图像,因此看起来应用程序加载得更快。
然而,如果这个快照包含 敏感信息,那么有权限访问快照的人可能会 窃取这些信息(请注意,您需要 root 权限才能访问它)。
快照通常存储在:/data/system_ce/0/snapshots
Android 提供了一种方法来 通过设置 FLAG_SECURE 布局参数来防止屏幕截图的捕获。通过使用这个标志,窗口内容被视为安全,防止其出现在屏幕截图中或在不安全的显示器上查看。
此工具可以帮助您在动态分析期间管理不同的工具:https://github.com/NotSoSecure/android_application_analyzer
开发人员经常创建代理组件,如活动、服务和广播接收器,这些组件处理这些 Intents 并将其传递给 startActivity(...)
或 sendBroadcast(...)
等方法,这可能是有风险的。
危险在于允许攻击者通过错误引导这些 Intents 来触发未导出的应用组件或访问敏感内容提供者。一个显著的例子是 WebView
组件通过 Intent.parseUri(...)
将 URL 转换为 Intent
对象,然后执行它们,这可能导致恶意 Intent 注入。
Intent 注入 类似于网络的开放重定向问题。
利用涉及将 Intent
对象作为额外参数传递,这可能被重定向以执行不安全的操作。
它可以将未导出的组件和内容提供者暴露给攻击者。
WebView
的 URL 到 Intent
的转换可以促进意外操作。
您可能已经知道这种类型的漏洞来自网络。您必须特别小心 Android 应用程序中的这些漏洞:
SQL 注入: 在处理动态查询或内容提供者时,确保使用参数化查询。
JavaScript 注入 (XSS): 验证任何 WebViews 的 JavaScript 和插件支持是否已禁用(默认情况下禁用)。 更多信息在这里。
本地文件包含: WebViews 应禁用对文件系统的访问(默认情况下启用) - (webview.getSettings().setAllowFileAccess(false);)
。 更多信息在这里。
持久性 Cookie: 在多个情况下,当 Android 应用程序结束会话时,Cookie 不会被撤销,或者甚至可能被保存到磁盘。
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激和挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 及时了解最新的漏洞赏金发布和重要平台更新
加入我们 Discord,今天就开始与顶级黑客合作!
静态分析
使用漂亮的基于 Web 的前端进行应用程序的漏洞评估。 您还可以执行动态分析(但您需要准备环境)。
注意,MobSF 可以分析 Android(apk)、IOS(ipa) 和 Windows(apx) 应用程序(Windows 应用程序必须从安装在 Windows 主机上的 MobSF 进行分析)。 此外,如果您创建一个包含 Android 或 IOS 应用程序源代码的 ZIP 文件(转到应用程序的根文件夹,选择所有内容并创建一个 ZIP 文件),它也能够分析它。
MobSF 还允许您进行 diff/比较 分析,并集成 VirusTotal(您需要在 MobSF/settings.py 中设置您的 API 密钥并启用它:VT_ENABLED = TRUE
VT_API_KEY = <Your API key>
VT_UPLOAD = TRUE
)。您还可以将 VT_UPLOAD
设置为 False
,那么 hash 将被 上传 而不是文件。
MobSF 对于 Android 的 动态分析 也非常有帮助,但在这种情况下,您需要在主机上安装 MobSF 和 genymotion(虚拟机或 Docker 不会工作)。注意:您需要 先在 genymotion 中启动虚拟机,然后 再启动 MobSF。 MobSF 动态分析器 可以:
转储应用程序数据(URLs、日志、剪贴板、您拍摄的屏幕截图、由 "Exported Activity Tester" 拍摄的屏幕截图、电子邮件、SQLite 数据库、XML 文件和其他创建的文件)。所有这些都是自动完成的,除了屏幕截图,您需要在想要截图时按下,或者您需要按 "Exported Activity Tester" 以获取所有导出活动的屏幕截图。
捕获 HTTPS 流量
使用 Frida 获取 运行时 信息
从 Android 版本 > 5 开始,它将 自动启动 Frida 并设置全局 代理 设置以 捕获 流量。它只会捕获被测试应用程序的流量。
Frida
默认情况下,它还将使用一些 Frida 脚本来 绕过 SSL 钉扎、根检测 和 调试器检测,并 监控有趣的 API。 MobSF 还可以 调用导出活动,抓取它们的 屏幕截图 并 保存 到报告中。
要 开始 动态测试,请按绿色按钮:“开始仪器化”。按下“Frida 实时日志”以查看 Frida 脚本生成的日志,按下“实时 API 监视器”以查看所有调用的挂钩方法、传递的参数和返回值(在按下“开始仪器化”后会出现)。
MobSF 还允许您加载自己的 Frida 脚本(要将您的 Frida 脚本的结果发送到 MobSF,请使用函数 send()
)。它还具有 多个预编写的脚本,您可以加载(您可以在 MobSF/DynamicAnalyzer/tools/frida_scripts/others/
中添加更多),只需 选择它们,按“加载”并按“开始仪器化”(您将能够在“Frida 实时日志”中看到该脚本的日志)。
此外,您还有一些辅助 Frida 功能:
枚举已加载的类:它将打印所有已加载的类
捕获字符串:它将打印在使用应用程序时捕获的所有字符串(非常嘈杂)
捕获字符串比较:可能非常有用。它将 显示正在比较的两个字符串 以及结果是 True 还是 False。
枚举类方法:输入类名(如 "java.io.File"),它将打印该类的所有方法。
搜索类模式:按模式搜索类
跟踪类方法:跟踪 一个 整个类(查看该类所有方法的输入和输出)。请记住,默认情况下 MobSF 跟踪几个有趣的 Android API 方法。
一旦您选择了要使用的辅助模块,您需要按“开始仪器化”,您将看到所有输出在“Frida 实时日志”中。
Shell
Mobsf 还为您提供了一个带有一些 adb 命令、MobSF 命令 和常见 shell 命令 的 shell,位于动态分析页面的底部。一些有趣的命令:
HTTP工具
当http流量被捕获时,您可以在“HTTP(S) Traffic”底部看到捕获流量的丑陋视图,或在“Start HTTPTools”绿色按钮中看到更好的视图。从第二个选项中,您可以发送捕获的请求到像Burp或Owasp ZAP这样的代理。 要做到这一点,打开Burp --> 关闭拦截 --> 在MobSB HTTPTools中选择请求 --> 按下“Send to Fuzzer” --> 选择代理地址 (http://127.0.0.1:8080\)。
完成MobSF的动态分析后,您可以按“Start Web API Fuzzer”来模糊http请求并寻找漏洞。
在使用MobSF进行动态分析后,代理设置可能配置错误,您将无法从GUI中修复它们。您可以通过以下方式修复代理设置:
您可以从 Inspeckage 获取该工具。 该工具将使用一些 Hooks 让您了解 在执行动态分析时应用程序中发生了什么。
这是一个 使用 GUI 进行静态分析的好工具
该工具旨在查找多个 与安全相关的 Android 应用程序漏洞,无论是在 源代码 还是 打包的 APK 中。该工具还 能够创建可部署的 "Proof-of-Concept" APK 和 ADB 命令,以利用一些发现的漏洞(暴露的活动、意图、tapjacking...)。与 Drozer 一样,无需对测试设备进行 root。
显示所有提取的文件以便于参考
自动将APK文件反编译为Java和Smali格式
分析AndroidManifest.xml以查找常见漏洞和行为
静态源代码分析以查找常见漏洞和行为
设备信息
以及更多
SUPER 是一个可以在 Windows、MacOS X 和 Linux 上使用的命令行应用程序,旨在分析 .apk 文件以寻找漏洞。它通过解压 APK 并应用一系列规则来检测这些漏洞。
所有规则都集中在一个 rules.json
文件中,每个公司或测试人员都可以创建自己的规则来分析他们需要的内容。
从 下载页面 下载最新的二进制文件。
StaCoAn 是一个 跨平台 工具,帮助开发者、漏洞赏金猎人和道德黑客对移动应用程序进行 静态代码分析。
其概念是将您的移动应用程序文件(.apk 或 .ipa 文件)拖放到 StaCoAn 应用程序上,它将为您生成一个可视化和便携的报告。您可以调整设置和词汇表,以获得定制的体验。
下载 最新版本:
AndroBugs Framework 是一个 Android 漏洞分析系统,帮助开发者或黑客发现 Android 应用中的潜在安全漏洞。 Windows releases
Androwarn 是一个工具,其主要目的是检测并警告用户关于 Android 应用程序可能存在的恶意行为。
检测是通过对应用程序的 Dalvik 字节码进行 静态分析 来执行的,该字节码以 Smali 形式表示,使用 androguard
库。
该工具寻找 “坏” 应用程序的常见行为,例如:电话标识符外泄、音频/视频流拦截、PIM 数据修改、任意代码执行...
MARA 是一个 Mobile Application Reverse engineering 和 Analysis Framework。它是一个将常用的移动应用程序逆向工程和分析工具整合在一起的工具,旨在帮助测试移动应用程序以应对 OWASP 移动安全威胁。其目标是使这一任务对移动应用程序开发人员和安全专业人员更加简单和友好。
它能够:
使用不同工具提取 Java 和 Smali 代码
使用以下工具分析 APK: smalisca, ClassyShark, androbugs, androwarn, APKiD
使用正则表达式从 APK 中提取私人信息。
分析 Manifest。
通过 apk-deguard.com 进行 APK 的去混淆。
用于检测恶意软件: https://koodous.com/
请注意,具体取决于您用于混淆代码的服务和配置。秘密可能会被混淆或不会被混淆。
来自 Wikipedia:ProGuard 是一个开源命令行工具,用于缩小、优化和混淆 Java 代码。它能够优化字节码,并检测和删除未使用的指令。ProGuard 是免费软件,并根据 GNU 通用公共许可证第 2 版分发。
ProGuard 作为 Android SDK 的一部分分发,并在以发布模式构建应用程序时运行。
在 https://blog.lexfo.fr/dexguard.html 找到逐步指南以去混淆 apk。
(来自该指南)上次我们检查时,Dexguard 的操作模式是:
将资源加载为 InputStream;
将结果传递给继承自 FilterInputStream 的类以进行解密;
进行一些无用的混淆,以浪费反向工程师几分钟的时间;
将解密的结果传递给 ZipInputStream 以获取 DEX 文件;
最后使用 loadDex
方法将结果 DEX 作为资源加载。
DeGuard 逆转了 Android 混淆工具执行的混淆过程。这使得许多安全分析成为可能,包括代码检查和预测库。
您可以将混淆的 APK 上传到他们的平台。
它是一个 通用的 Android 去混淆器。 Simplify 虚拟执行应用程序 以理解其行为,然后 尝试优化代码 使其表现相同,但更易于人类理解。每种优化类型都简单且通用,因此无论使用何种特定类型的混淆都无关紧要。
APKiD 提供有关 APK 是如何制作的 信息。它识别许多 编译器、打包器、混淆器 和其他奇怪的东西。它是 Android 的 PEiD。
AndroL4b 是一个基于 ubuntu-mate 的 Android 安全虚拟机,包含来自不同安全极客和研究人员的最新框架、教程和实验室,用于逆向工程和恶意软件分析。
https://appsecwiki.com/#/ 这是一个很好的资源列表
https://maddiestone.github.io/AndroidAppRE/ Android 快速课程
加入 HackenProof Discord 服务器,与经验丰富的黑客和漏洞赏金猎人交流!
黑客见解 参与深入探讨黑客的刺激和挑战的内容
实时黑客新闻 通过实时新闻和见解,跟上快速变化的黑客世界
最新公告 及时了解最新的漏洞赏金发布和重要平台更新
加入我们 Discord,今天就开始与顶级黑客合作!
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术: HackTricks 培训 GCP 红队专家 (GRTE)