APP渗透测试之安卓APP抓包
阅读原文时间:2023年07月10日阅读:2

之前说过一些信息搜集相关的东西(漏了APP没讲),按照渗透测试的完整流程,我作为测试,测个APP,也很合理吧

既然能用burpsuite测试web,那就能用burpsuite测试APP(有大佬自称用burpsuite行走江湖多年,靠插件和经验打遍天下无敌手)

本次演示采用夜神模拟器+burpsuite v2020.11  (啊当然不是因为夜神最niubility,而是我手头就有它了 ,如果要抓的APP不能在夜神上运行、或者框架安不了,确定是模拟器的问题,就换一个模拟器,什么mumu、雷电、天天、逍遥…)

系统为安卓7  (版本太低的不予讨论)

为了抓HTTPS的包,没安装证书的,自行下载、导入、安装(简单说一下,比如浏览器安装证书,如果burpsuite监听的是本机的8080端口,那就浏览器访问http://localhost:8080,下载CA证书,然后在浏览器中导入cacert.der,安到受信任的根证书颁发机构,直到看到PortSwigger CA,证明导入成功)

在模拟器配置,长按网络修改网络,采用代理,IP为本地主机IP,端口也设一个,啥都行比如8081

然后在burpsuite中新建一个绑定代理,选择本机IP和刚刚写的端口

最终变成

然后在夜神模拟器中用浏览器访问192.168.25.203:8081下载证书(嫌安全警告弹得烦,也可以在本地机器设代理后上访问http://192.168.25.203:8081,下载证书后再共享到模拟器中安装)

下载CA证书,然后打开模拟器中“下载”可以看到证书

别忘了把后缀从.der改成.cer(der安不了),然后拖到SD卡的路径中,到设置-》安全-》从SD卡安装,选择这个证书

为证书起个名字,设置PIN码,随便搞一个记得住的,安装成功之后会提示安装成功

完活儿,然后正常来说就可以用burpsuite抓一些模拟器中APP或者其他什么的数据包了

but,这只是比较理想的情况

实际上会出现各种问题:

1.本机不允许设置网络代理

像我最初做的例子,就属于开了模拟器本机的代理,那有些APP就是会检测代理,你设置了本机代理我干脆就不让你正常运行!怎么搞嘛

常见的一种方法是在模拟器外部抓包来规避检测,比较常规的办法就是利用proxifier(当然,先要按照之前的步骤安证书,区别在于这回不用手动修改模拟器网络代理配置)

配置代理服务器,选本机IP,端口8080(burpsuite怎么写,这里就怎么写,burpsuite默认监听8080),HTTPS

再配置规则,名字随便起,把夜神模拟器进程Nox.exe(不一定就是这个,看你机器上显示的是什么就写什么)导入规则,代理选之前配的

启用此规则

然后用burpsuite即可绕过限制抓包(吧)

模拟器-》proxifier-》burpsuite

2.APP认证机制

有一个问题:HTTPS抓包一个朴素的思想是什么?

答:MITM,对客户端伪装成服务端,对服务端伪装成客户端

这里有一篇介绍HTTPS认证原理(单向认证、双向认证)的文章,总结了一下  https://www.cnblogs.com/yaphetsfang/articles/12858356.html

但是有些APP会采用SSL-Pinning 机制来进行抵抗抓包

那么,如何绕过SSL-Pinning机制呢?(很多东西,模拟器上是用不了的,必须真实手机环境)

(1)老版本安卓系统(7以下)可能会没有针对第三方证书的限制,无此机制限制,可按照常规办法抓包(但前提是APP能在上面正常运行)

(2)或者有root权限,能把这些个第三方证书安到系统默认预置的证书区里面

(3)再或者 Xposed+JustTrustMe、VitualXposed+JustTrustMe

VitualXposed可以在不需要设备root的情况下,修改App的行为   https://vxposed.com/

Xpose框架是一款可以在不修改APK的情况下影响程序运行或修改系统的框架服务   https://github.com/rovo89/Xposed

JustTrustMe是Github上面的一个开源项目,是xposed中的一个模块,用于禁止SSL证书验证  https://github.com/Fuzion24/JustTrustMe?utm_source=testingpai.com

使用较为复杂,请参考:

https://blog.csdn.net/u011215939/article/details/95461286

http://www.yxssp.com/23278.html

(4)frida,仍然是比较复杂,参考:

https://xz.aliyun.com/t/6102

https://www.cnblogs.com/Eeyhan/p/12916162.html

(5)反编译APK

有壳先脱壳,我等渣渣脱壳只能用大佬写的工具

之后用工具反编译,之后。。。之后我就不会了(理直气壮),安卓一窍不通,正常来说需要修改内容

哪位大佬给条明路

3.root检测问题

很多模拟器默认root(先不讨论这玩意有没有实际效果),这可能导致部分APP被限制。。。功能,打不开、闪退,更没法抓包

要么关掉root

要么绕过root检测,检测可能会通过检测系统版本、看看有没有安什么root管理器啊、需要root的框架啦什么的

相关软件有很多,但本菜鸡安卓逆向玩的不好,所以这里就只是提一下,具体方法参考其他师傅们的文章吧

剩下的,就基本上和web测试一样了,该用代理池用代理池,该用扫描器用扫描器

未经允许,禁止转载