您當前的位置：寧夏資訊網(wǎng) > 資訊 > 內(nèi)容正文

記一次授權(quán)的APK滲透測試!

寧夏資訊網(wǎng) 2020-11-19 12:32:05 來源：閱讀：-

原創(chuàng)： luc1fer 合天智匯

作為一個滲透測試小白，本文的目的是希望能為那些和我一樣的小白提供一些測試思路。
涉及的內(nèi)容可能比較基礎(chǔ)，表哥們見諒。
APK 解包
拿到 apk 之后直接用 7-Zip 解壓可以得到幾個文件夾、一個 AndroidManifest.xml 文件、一個dex文件。使用 dex2jar https://sourceforge.net/projects/dex2jar/ 將這個dex文件解壓會生成一個jar文件，然后使用jd-gui就可以查看java源代碼了。
當然可以從源碼里找代碼的漏洞，但是一般會有混淆，在這也不做深入討論。
上邊提到的 xml 文件一定不能發(fā)放過，里邊涉及到許多重要的配置項，比如：
- AndroidManifest.xml文件中android:debuggable為true。app 可被任意調(diào)試
- AndroidManifest.xml文件中android: allowBackup為true。app 數(shù)據(jù)可以被備份導出。
- 等等...
還有一點在實際測試過程中可能會用到：在對 apk 解壓之后可以嘗試在 powershell 里邊搜一下 db 文件，說不定有敏感信息(為什么這么說，因為我碰到過一次...)

for /r F:\source-code %i in (*.db) do echo %i

大家有興趣的話可以上合天網(wǎng)安實驗室做相關(guān)的實驗，推薦實驗：

apk安全分析檢測：

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014112814012900001

（通過實驗學習如何運行apk安全分析檢測程序，對apk進行安全分析檢測，通過分析發(fā)現(xiàn)其中的潛在威脅。）

登陸頁面
用戶名可枚舉
輸入用戶名之后響應(yīng)用戶名不存在，這就是最簡單的枚舉用戶名的情形了。
這次碰到的是登陸不需要密碼，但是要輸入已經(jīng)注冊過的用戶名，之后會根據(jù)用戶名發(fā)送驗證碼到對應(yīng)手機，同時設(shè)置了 120s 內(nèi)不能重新發(fā)送，并且驗證碼 120s 內(nèi)有效。
這時候看起來我們沒辦法通過驗證碼做什么事，但是在實際測試過程中發(fā)現(xiàn)
1. 當我們輸入存在的賬號之后提示發(fā)送成功；
2. 重復(fù)發(fā)送，會響應(yīng) 120s 內(nèi)不能重復(fù)發(fā)送；
3. 輸入不存在用戶會提示發(fā)送失敗。
所以這個時間限制對用戶名枚舉其實沒什么影響，我們可以通過爆破用戶名根據(jù)返回的信息來查看用戶名是否存在。

等等，既然咱都不知道手機號，也不讓輸密碼登陸，就算得到用戶名生成社工字典也沒法用啊，那拿到了用戶名有什么用？
當然有用，不過要看具體場景，比如下面這個案例
任意驗證碼繞過
當我們登陸時服務(wù)端給賬號綁定的手機號發(fā)送短信驗證碼，我們輸入一個上一步得到的賬號，驗證碼隨便輸，點擊登陸后抓包，登陸失敗，發(fā)現(xiàn)響應(yīng)中有兩個 code 字段