声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失 , 均由使用者本人负责 , 雷神众测以及文章作者不为此承担任何责任 。
雷神众测拥有对此文章的修改和解释权 。如欲转载或传播此文章 , 必须保证此文章的完整性 , 包括版权声明等全部内容 。未经雷神众测允许 , 不得任意修改或者增减此文章内容 , 不得以任何方式将其用于商业目的 。
【Web渗透从App寻找攻击面的几个方法】No.1
抓包
App抓包已经是一个老生常谈的话题了 , 但不得不说抓包才是真正的开始 , 这里推荐两个个人常用的抓包方法:
1、模拟器+Proxifier
如果App可以在模拟器里正常使用 , 首选该方法 , 方便快捷!
Proxifier抓模拟器进程的包 , 即可让模拟器上的流量上代理 , 然后过Burp Suite即可 。以夜神为例:
首先开启Burp Suite代理(127.0.0.1:8080) , 然后在Proxifier添加代理服务器(127.0.0.1:8080) , 再添加一条通行规则:
文章插图
启动模拟器 , 可观察到流量情况(导入证书):
文章插图
抓微信小程序:
文章插图
2、Frida+SSL Bypass
上述方法遇到失败的情况 , 就需要掏出 Frida (https://github.com/frida) 神器了 , 通过Hook掉关键校验点(需逆向分析)来达到抓包的目的 , 不过已经有很多完善好的bypass脚本 , 无需再去逆向直接拿来用就行(大部分情况) , 也推荐两个:
(1)frida-codeshare的热门脚本:universal-Android-ssl-pinning-bypass-with-frida(https://codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/)
文章插图
(2)瘦蛟舞大佬的DroidSSLUnpinning
(https://github.com/WooyunDota/DroidSSLUnpinning)
覆盖场景非常全面 , 个人比较推荐 , 比frida仓库那个效果好 。
/*
hook list:
1.SSLcontext
2.okhttp
3.webview
4.XUtils
5.httpclientandroidlib
6.JSSE
7.network_security_config (android 7.0+)
8.Apache Http client (support partly)
9.OpenSSLSocketImpl
10.TrustKit
11.Cronet
*/
举个案例
只导入Burpsuite证书 , 设置代理 , 打开App , 提示证书不可信 , 无法抓到流量:
文章插图
不要使用WIFI处的高级代理(App会检测当前网络环境) , 开启ProxyDroid , 也会出现同样的问题 。
开启proxydroid , frida注入ssl-pinning脚本:
文章插图
成功在burpsuite抓到流量 。
其他
JustTrustMe:了解Xposed的同学应该都知道这个 , 正常安装、启用插件即可 。
No.2
接口挖掘
除了抓包可以看到一些请求外 , 还可以主动通过代码文件寻找隐蔽接口 , 主要用到的工具是grep 。
前提是拿到无壳/已脱壳dex文件 , 无壳App的dex文件直接在反编译工具(如jadx)打开就可以读JAVA源码 , 或者使用更方便的grep来查找字符串:
查找所有HTTP服务地址(扩展其他服务、ftp等):
文章插图
提取所有IP地址:
文章插图
可以做一个去重 , 然后整理到资产表里 , 进行下一步工作 。Tips:分析App之前adb logcat开启日志输出 , 操作完之后对日志做一次grep过滤 , 或者其他感兴趣字符串比如password、token等等 , 也会有意外收获 。
No.3
双端差异
目标业务既有Web端 , 也有App , 往往在App一侧会“忽视”参数加密的问题 , 或者是套用Web的前端加密算法过来 , 列举几个案例:
1、同一登录接口 , Web端做了复杂加密 , 爆破等操作遇到困难 , 然而抓包App登录请求发现未加密 , 或者是用户名未加密 。同一系统不同“端”加密:
推荐阅读
- Web漏洞扫描——AWVS漏扫工具的使用
- 关于ThinkPHP的一些渗透方式
- 进故宫旅游应该先从什么地方进 游故宫要注意的事情是什么
- 春天养生计划从吃开始!这三类美食不仅养生还瘦身!
- 网站优化也是从量变到质变的过程
- 如何使用 WebGL 进行实时视频处理
- 从 10 多秒到 1.05 秒!前端性能优化实践
- 从模拟接口到8K传输 显卡接口这些年变得太多
- 巧克力|女生花5万买巧克力送校友被网暴 本人回应:从未后悔、清者自清
- 白居易江州司马的江州是今天是哪里 白居易在江州写的诗