0x01 大体思路
在安卓75%的市场占有率下,形形色色的安卓应用层出不穷,随之而来的便是大波的漏洞。在各类市场中随意翻一下,几乎都是连接网络的应用,这在给用户惬意体验的同时也给我们漏洞挖掘带来了机会。
当前无论是web网页,还是基于网络的安卓应用,免不了都要用http协议来与服务器通信,提交用户的更改或者获取用户想要的信息,下面,我们一起来探讨如何在windows平台下抓取http协议包寻找其中的潜在漏洞。
0x02 平台搭建
既然我们要在windows平台下挖掘安卓应用漏洞,就要想个办法让安卓应用在电脑里运行,我们用到了第三方安卓模拟器"BlueStacks",以及一款中文辅助软件"给力助手" url:http://www.shouzhi.net.cn/z/bluestacks.html 软件并不臃肿,功能却很强大。内置安卓系统为定制系统,无启动器,可以自行在给力助手中安装GO桌面充当启动器。
这是安装好后的样子,跟安卓pad无异,触摸屏表示很爽:
对于外部apk应用导入,可以使用给力助手中的功能实现。
安卓应用能在电脑里运行了,还缺很关键的一步就是抓包了,大名鼎鼎Wireshark能胜任这个任务。url:http://dlsw.baidu.com/sw-search-sp/soft/01/15788/Wireshark-win32-1.11.2.1339076454.exe 安装好后启动界面是这样子的:
点击上图框选interface list按钮进入网卡选择:
点击有包的那个start按钮进入监听。Wireshark可以抓到所有的网络包,对于本文,我们只需要抓取get和post方法发出的数据包,不然一秒钟数百个数据包着实让人无从下手。
在下图中框选位置输入过滤语句,过滤出get和post包:http.request.method=="GET" or http.request.method=="POST"
好了,现在我们可以抓到所有post和get请求包了(注意wireshark监听的是网卡,电脑中所有应用产生的包都会被抓到,要注意识别分辨),测试一下在模拟器中打开网页,完美抓取。
0x03实战
做足了准备工作,我们可以开始实战挖一下漏洞了。由于热门推荐的应用都是免费应用,挖到漏洞也不算漏洞,付费应用需要先付费才能触发功能截获http包,屌丝付不起.....
于是乎,我们从一个特殊应用下手,我们测试的应用是58积分,一款手机赚钱应用。url:http://www.58jf.com/ 安装后可一键自动注册。简单转一下,此应用赚钱方法就是让我们下载应用,安装,然后给我们积分,积分可以兑换奖品,1W积分=1元。为了优惠新手用户,做基础任务可以奖励积分,其中第一个任务为完善用户资料,奖励2K积分。很好,就从这个完善用户资料的任务开始吧。先正常填写(这些资料目测填写完后无法走正常途径改动,而且兑换时只能是充值到此处填写的账户里,当然,以后用漏洞改也可以,只不过费点劲罢了)
千万不要点确定哦,点确定之前先记得把wireshark的监控打开...
确认可以正常抓包后,点击确定,等返回提交成功的信息后,在wireshark中按ctrl+e终止抓包,分析这几秒内捕获的包:
发现了这个,明显就是提交信息到服务器的get请求,我们用图中框选出的信息组合成url,提交成功!
再看一下积分数量
0x04反思
由上面的案例我们已经掌握了如何抓取安卓应用的对外发包了,通过此方法可以挖出很多应用的很多漏洞,想必这是极好的~
整个黑盒测试过程几乎不需要懂代码,只需懂一些基础知识即可,希望大家可以举一反三,挖出其他应用的更多漏洞
Fiddler对安卓应用手机抓包图文教程
做开发需要抓取手机app的http/https的数据包,想看APP发出的http请求和响应是什么,这就需要抓包了,这可以得到一些不为人知的api,比如还可以干些"坏事"...
需要工具:
Fiddler抓包软件
Android 手机一台
一、如何使用 Fiddler2
下载完成后安装,安装过程就不贴图了。
如下图设置Fiddler 代理:
点击OK,在这里代理就设置完成,一定要重启软件配置才生效,下面是手机端的设置。
浏览器抓包和调试工具(Fiddler) 4.4.6.2 官方最新版 评分:
8.0
类别:
编程辅助 大小:759KB 语言:
英文
查看详细信息 >>
二、手机端代理设置
以三星S4为例子,
1、如下图真机三星S4设置:
找到你的Wifi,必须电脑和手机处于同一个Wifi下。最好是电脑发一个Wifi出来。
长按wifi热点,选择修改网络配置。
代理设置为:手动;代理主机名为你的电脑Ip,端口就是刚才Fiddler设置的端口。
-----------------------------------------------------------------------------------------
2、模拟器(android 2.3)设置
到这里设置完成,让我们看看我们都抓到什么东东。
--------------------------------------------------------------------------------------------------------
我们看看微博客户端吧,获取首页内容如下:
不禁感叹,很好很强大~~~~~~~~~~~~~~~~~~~~~~~~
提示:Fiddler可以设置过滤,可以很方便看到我们想要的Http包:
Fiddler手机抓包
第一步:配置Fiddler
Tools->Fiddler Options...
重启Fiddler
第二步:在手机上安装证书
用手机浏览器打开http://10.240.139.173:8888(IP是你电脑的IP,8888是Fiddler的端口)
在页面上下载FiddlerRoot certificate(文件名FiddlerRoot.cer)
我用的是uc浏览器,下载到了UCDownloads目录下,这里要注意,将FiddlerRoot.cer移动到根目录下(否则会提示未在USB存储设备中找到证书文件)。
接下去:设置->安全和隐私->从存储设备安装 (按照提示操作即可)
第三步:设置代理
打开你手机上无线,代理设置->手动
主机:10.240.139.173(你的运行Fiddler的电脑IP)
端口:8888
确定
接下去就是Fiddler的基本操作了,我们已经看到手机上的数据包了。
X-User-Agent:XOne/1.1.2(AndroidPhone;2.2Later;MI 2S/android4.1.1)