【总结】APP客户端渗透测试
一、app代码未混淆
1、使用7zip解压apk文件
2、执行命令:dex2jar.bat apk解压后文件夹中的classes.dex文件
3、上述命令执行后会在apk文件夹中生成java源码文件classes_dex2jar.jar
4、直接使用jd-gui打开上述文件查看代码是否混淆
(可以尝试直接使用Androidkiller打开apk文件)
二、app应用完整性
1、将apk文件复制到apktool目录下
2、apktool对apk文件进行解包,命令:java -jar apktool_2.3.0.jar d apk文件
3、解包成功后会在当前文件夹下生成一个新的apk文件夹
4、进入新的apk文件夹下,找到相应logo,一般存在于res文件夹下的以mipmap开头的几个文件夹中,或者直接在apk文件夹下搜索launcher
5、随便下载个png图片,替换掉logo
6、替换成功后重新打包,执行命令:java -jar apktool_2.3.0.jar b apk文件夹
7、打包生成的apk文件默认存放在apk文件夹中dist文件夹下
8、对新生成的apk问价进行签名,执行命令:java -jar signapk.jar testkey.x509.pem testkey.pk8 原apk文件名 新apk文件名
三、文件存储安全性(参考https://www.52pojie.cn/thread-621516-1-1.html)
1、数据库文件(adb或ddms导出数据库文件,使用sqliteSpy打开数据库文件查看是否泄露敏感信息)
2、客户端存储文件(adb或ddms查看客户端存储文件,如sharedpreferences文件等)
四、文件权限安全性
adb或ddms查看app文件权限,一般默认后三位为--x,即其他用户组用户不具备读写权限
五、组件安全性(drozer)
检测攻击面
run app.package.attacksurface [package name]
攻击activity:
run app.activity.info -a [package name]
run app.activity.start --component [package name] [component name]
攻击Content Provider(注入和遍历):
run app.provider.info -a [package name]
run scanner.provider.finduris -a [package name]
run app.provider.query [uri]
run app.provider.update [uri] --selection [conditions] [selection arg] [column] [data]
run scanner.provider.sqltables -a [package name]
run scanner.provider.injection -a [package name]
run scanner.provider.traversal -a [package name]
攻击Broadcast Receivers:
run app.broadcast.info -a [package name]
run app.broadcast.send --component [package name] [component name] --extra [type] [key] [value]
run app.broadcast.sniff --action [action]
攻击Service:
run app.service.info -a [package name]
run app.service.start --action [action] --component [package name] [component name]
run app.service.send [package name] [component name] --msg [what] [arg1] [arg2] --extra [type] [key] [value] --bundle-as-obj
问题记录:
查看apk版本等信息
D:\apptool\adt\adt-bundle-windows-x86_64-20140702\sdk\build-tools\android-4.4W>aapt.exe dump badging D:\apptool\test.apk
adb无法连接夜神模拟器shell的,多半是版本不同的原因,可尝试将adb.exe改为nox_adb.exe复制到夜神模拟器安装目录下
执行run app.package,list命令无法获取包名,可直接adb获取包名,然后直接使用包名进行后续测试
运行dorzer显示~/.drozer_config file错误时,进行如下操作:
建立名为 .drozer_config的文件,文件中添加如下内容:
[executables] java=C:\Program Files (x86)\Java\jdk1.8.0_144\bin\java.exe javac=C:\Program Files (x86)\Java\jdk1.8.0_144\bin\javac.exe
即java和javac的路径,保存后存放到C:\Users\XXX\ 目录下,其中XXX为当前用户名目录下,之后重新连接成功
如果在win7下此文件.drozer_config 无法命名,解决办法
先把文件名改为1.drozer_config,然后使用命令 rename 1.drozer_config .drozer_config 即可
一些常用命令:
adb.exe devices
adb.exe connect 127.0.0.1:62001
adb.exe shell
adb.exe pull /sdcard/xxx_db
adb.exe forward tcp:31415 tcp:31415
drozer.bat console devices
dorzer.bat console connect