• Windows平台下Android应用抓包挖掘漏洞方法


    0x01 大体思路

    在安卓75%的市场占有率下,形形色色的安卓应用层出不穷,随之而来的便是大波的漏洞。在各类市场中随意翻一下,几乎都是连接网络的应用,这在给用户惬意体验的同时也给我们漏洞挖掘带来了机会。

    当前无论是web网页,还是基于网络的安卓应用,免不了都要用http协议来与服务器通信,提交用户的更改或者获取用户想要的信息,下面,我们一起来探讨如何在windows平台下抓取http协议包寻找其中的潜在漏洞。

    0x02 平台搭建

    既然我们要在windows平台下挖掘安卓应用漏洞,就要想个办法让安卓应用在电脑里运行,我们用到了第三方安卓模拟器"BlueStacks",以及一款中文辅助软件"给力助手"  url:http://www.shouzhi.net.cn/z/bluestacks.html 软件并不臃肿,功能却很强大。内置安卓系统为定制系统,无启动器,可以自行在给力助手中安装GO桌面充当启动器。
    这是安装好后的样子,跟安卓pad无异,触摸屏表示很爽:

    对于外部apk应用导入,可以使用给力助手中的功能实现。

    安卓应用能在电脑里运行了,还缺很关键的一步就是抓包了,大名鼎鼎Wireshark能胜任这个任务。url:http://dlsw.baidu.com/sw-search-sp/soft/01/15788/Wireshark-win32-1.11.2.1339076454.exe 安装好后启动界面是这样子的:

    点击上图框选interface list按钮进入网卡选择:

    点击有包的那个start按钮进入监听。Wireshark可以抓到所有的网络包,对于本文,我们只需要抓取get和post方法发出的数据包,不然一秒钟数百个数据包着实让人无从下手。
    在下图中框选位置输入过滤语句,过滤出get和post包:http.request.method=="GET" or http.request.method=="POST"

    好了,现在我们可以抓到所有post和get请求包了(注意wireshark监听的是网卡,电脑中所有应用产生的包都会被抓到,要注意识别分辨),测试一下在模拟器中打开网页,完美抓取。

    0x03实战

    做足了准备工作,我们可以开始实战挖一下漏洞了。由于热门推荐的应用都是免费应用,挖到漏洞也不算漏洞,付费应用需要先付费才能触发功能截获http包,屌丝付不起.....
    于是乎,我们从一个特殊应用下手,我们测试的应用是58积分,一款手机赚钱应用。url:http://www.58jf.com/ 安装后可一键自动注册。简单转一下,此应用赚钱方法就是让我们下载应用,安装,然后给我们积分,积分可以兑换奖品,1W积分=1元。为了优惠新手用户,做基础任务可以奖励积分,其中第一个任务为完善用户资料,奖励2K积分。很好,就从这个完善用户资料的任务开始吧。先正常填写(这些资料目测填写完后无法走正常途径改动,而且兑换时只能是充值到此处填写的账户里,当然,以后用漏洞改也可以,只不过费点劲罢了)

    千万不要点确定哦,点确定之前先记得把wireshark的监控打开...
    确认可以正常抓包后,点击确定,等返回提交成功的信息后,在wireshark中按ctrl+e终止抓包,分析这几秒内捕获的包:

    发现了这个,明显就是提交信息到服务器的get请求,我们用图中框选出的信息组合成url,提交成功!
    再看一下积分数量

    0x04反思

    由上面的案例我们已经掌握了如何抓取安卓应用的对外发包了,通过此方法可以挖出很多应用的很多漏洞,想必这是极好的~
    整个黑盒测试过程几乎不需要懂代码,只需懂一些基础知识即可,希望大家可以举一反三,挖出其他应用的更多漏洞

     

    Fiddler对安卓应用手机抓包图文教程

     

     

    做开发需要抓取手机app的http/https的数据包,想看APP发出的http请求和响应是什么,这就需要抓包了,这可以得到一些不为人知的api,比如还可以干些"坏事"...

    需要工具:

    Fiddler抓包软件

    Android 手机一台

    一、如何使用 Fiddler2 

    下载完成后安装,安装过程就不贴图了。

    如下图设置Fiddler 代理:

    点击OK,在这里代理就设置完成,一定要重启软件配置才生效,下面是手机端的设置。

    浏览器抓包和调试工具(Fiddler) 4.4.6.2 官方最新版 评分:

    8.0

    类别: 编程辅助    大小:759KB    语言: 英文 
    查看详细信息 >>

    二、手机端代理设置

    以三星S4为例子,

    1、如下图真机三星S4设置:

    找到你的Wifi,必须电脑和手机处于同一个Wifi下。最好是电脑发一个Wifi出来。

    长按wifi热点,选择修改网络配置。

    代理设置为:手动;代理主机名为你的电脑Ip,端口就是刚才Fiddler设置的端口。

    -----------------------------------------------------------------------------------------

    2、模拟器(android 2.3)设置

    到这里设置完成,让我们看看我们都抓到什么东东。

    --------------------------------------------------------------------------------------------------------

    我们看看微博客户端吧,获取首页内容如下:

    不禁感叹,很好很强大~~~~~~~~~~~~~~~~~~~~~~~~

    提示:Fiddler可以设置过滤,可以很方便看到我们想要的Http包:

    Fiddler手机抓包

    第一步:配置Fiddler

    Tools->Fiddler Options...

    重启Fiddler

    第二步:在手机上安装证书

    手机浏览器打开http://10.240.139.173:8888(IP是你电脑的IP,8888是Fiddler的端口)

    在页面上下载FiddlerRoot certificate(文件名FiddlerRoot.cer)

    我用的是uc浏览器,下载到了UCDownloads目录下,这里要注意,将FiddlerRoot.cer移动到根目录下(否则会提示未在USB存储设备中找到证书文件)。

    接下去:设置->安全和隐私->从存储设备安装 (按照提示操作即可)

    第三步:设置代理

    打开你手机上无线,代理设置->手动

    主机:10.240.139.173(你的运行Fiddler的电脑IP)

    端口:8888

    确定

    接下去就是Fiddler的基本操作了,我们已经看到手机上的数据包了。

    X-User-Agent:XOne/1.1.2(AndroidPhone;2.2Later;MI 2S/android4.1.1)

     

  • 相关阅读:
    Navicat Premium连接mongodb详细
    顶会热词--bean层
    软件工程课超有意思之户外活动
    超好用的html模板网站
    超好用的办公网站之ppt版
    超好用的办公的一个网站
    STD二手图书交流平台团队博客-验证码登录
    css分页
    STD二手图书交流平台团队博客-商品属性与操作
    css按钮动画
  • 原文地址:https://www.cnblogs.com/h4ck0ne/p/5154590.html
Copyright © 2020-2023  润新知