信息收集-3
信息收集-3
APP 信息收集
名称获取 APP 信息(爱企查 / 小蓝本 / 七麦 / 点点)
1、爱企查知识产权
2、七麦 & 点点查名称
通过获取 App 配置、数据包,去获取 url、api、osskey、js 等敏感信息。
1、资产信息 - IP 域名 网站 - 转到对应 Web 测试 接口测试 服务测试
2、泄露信息 - 配置 key 资源文件 – key(osskey 利用,邮件配置等)
3、代码信息 - java 代码安全问题 - 逆向相关
APP 中收集资产
1、抓包 - 动态表现
2、提取 - 静态表现 & 动态调试
3、搜索 - 静态表现
1、抓包抓表现出来的数据
优点:没有误报
缺点:无法做到完整
2、反编译从源码中提取数据
优点:数据较为完整
缺点:有很多无用的资产
3、动态调试从表现中提取数据
优点:没有误报,解决不能抓包不能代理等情况
优点;搞逆向的人能看到实时的 app 调用链等
缺点:无法做到完整
例子:某 APP 打开无数据包,登录有数据包(反编译后未找到目标资产,抓包抓到了)
原因:那个登录界面是 APP 打包的资源,并没有对外发送数据
静态分析:
AppInfoScanner:
该产品适用于以 HW 行动 / 红队 / 渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态 WEB 站点中关键的资产信息并提供基本的信息输出,如:标题、域名、CDN、指纹信息、状态信息等。
https://github.com/kelvinBen/AppInfoScanner
Android 相关基本操作:
对本地 APK 文件进行扫描
python app.py android -i <Your apk file>
例:
python app.py android -i C:\Users\Administrator\Desktop\Demo.apk
iOS 相关基本操作:
对本地 IPA 文件进行扫描
python app.py ios -i
例:
python app.py ios -i “C:\Users\Administrator\Desktop\Demo.ipa”
Web 相关基本操作:
对本地 WEB 站点进行扫描
python app.py web -i
例:
python app.py web -i “C:\Users\Administrator\Desktop\Demo.html”
移动安全框架(MobSF)
移动安全框架(MobSF)是一个自动化、一体化的移动应用程序(Android/iOS/Windows)渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件(APK、XAPK、IPA 和 APPX)以及压缩的源代码,并提供 REST API,以便与 CI/CD 或 DevSecOps 管道无缝集成。动态分析器帮助您执行运行时安全性评估和交互式检测测试。
https://github.com/MobSF/Mobile-Security-Framework-MobSF
所需环境:
本篇以 Windows 为例
1、安装 Git(示例版本 Git 2.35.1)
2、安装 Python 3.8-3.9(示例版本 Python 3.8.10)
3、安装 JDK 8+(示例版本 JDK 1.8.0_172)
4、安装 Microsoft Visual C++ Build Tools
5、安装 OpenSSL(non-light)
6、安装 wkhtmltopdf,并将包含 wkhtmltopdf 的二进制文件路径添加到
环境变量 PATH 里
运行: run.bat 127.0.0.1:8000
动态抓包:
使用抓包工具 Burp 等
动态调试:
Mobsf 工具中的动态调试 + 模拟器
