移動APP安全在滲透測試中的應(yīng)用

1、以往安全愛好者研究的往往是app的本地安全，比如遠(yuǎn)控、應(yīng)用破解、信息竊取等等，大多人還沒有關(guān)注到app服務(wù)端的安全問題，于是在這塊的安全漏洞非常多。移動app大多通過webapi服務(wù)的方式跟服務(wù)端交互，這種模式把移動安全跟web安全綁在一起。移動app以web服務(wù)的方式跟服務(wù)端交互，服務(wù)器端也是一個(gè)展示信息的網(wǎng)站，常見的web漏洞在這也存在，比如說SQL注入、文件上傳、中間件/server漏洞等，但是由于部分app不是直接嵌入網(wǎng)頁在app中，而是使用的api接口返回josn數(shù)據(jù)，導(dǎo)致掃描器爬蟲無法爬取鏈接。NI*,=&SQL-X£0EncryptionEncoding'

2、;Other-J；LoadURLhttp:/m2i5hibaike.cci-m/article/11st/suggest?page-1Sicotint=3O&rqcnt=2j如眥URL)EjcecuteEnablePostdsta.EnableFteferreri.image:u；pubishedjts1335321632ji卜tag:rrME-titerIjj卜created_at:"CT|&last-device;nui!k-role:"n"(：ihlast_visted_at!"。"j|rstate:"sctiv

3、f"IIIplogin："川川同學(xué)”!：jL汨：喝2912口¥iiiLicon!"20121229150705.jpg"L-intonesize:n：,r；3|:(id；n65205COZrtE-votes1I；!downi-482I二up：9298createdat<1395321632-iikcontent:"平時(shí)尊歡持老公期的毛毛玩，各種持突發(fā)奇想要給翦個(gè)形狀出來，于是昨天晚上iiLstate:"pubfch11：:4"iHrw-iimnjmsHr>*-"!>&町>&

4、quot;n,下圖是抓的模事百科模事列表，contet字段內(nèi)容與我無關(guān)那么我嘗試去找app服務(wù)端的漏洞，目前想到的兩種方法:1 .反編譯APP2 .https代理抓包那么有人應(yīng)該會提出問題，這兩種方式拿到的鏈接都是零零散散的，也不好找漏洞啊，我這邊的利用方式是把所有抓取的鏈接直接提交任務(wù)到多引擎web漏洞掃描器，掃描器可以批量掃SQL注入等等，其實(shí)除了這些漏洞，還有很多可以利用的信息。一、反編譯APP有兩種反編譯方式，dex2jar和apktool,兩個(gè)工具反編譯的效果是不一樣的，dex2jar反編譯出java源代碼，apktool反編譯出來的是java匯編代碼。1.dex2jar反編譯工具：

5、dex2jar+jdgui方法：a.修改apk為zip擴(kuò)展名3Jn：ebook.ka(tana_130155.zip-WinRARI=I0b.解壓出classes.dex文件c.使用dex2jar反編譯(dex2jar.batclasses.dexF-ex2jar-0-0.9.15>dex2ja>*.力atclasses.dex七嘉£相endisdepk*ecited#u等ethed2judex2Javx£possibledex2ja>«Mei*sionzti*ans1-atzof-0.0-9.15dex2jarclasses->clsse

6、s_dex2Jar<j-akrDone.,F二4多動安全研究32Ja0.0.9/5.最后反編譯出來的源碼如下圖。雖然部分類被配置proguard.cfg混淆了，但是還是可以利用的。(U.dnJ.pia.jir-IIf)|舊Rd事事而年Sfi電Edv由Kb14k.inese>ffcomHuvnterab勝1icLsiaLid* 由VKEvptoan 出%Ff* 由niMMg*r 由m串Eat£i/一曲 中加金-.亡d«JhWHiiJO»Sl'O-1J.PlrtfrPirfl0*cic曲尤5MihID»jib電eJ1姐d11-gV向也mp

7、sdaBjfcj-wnntfl!旺Ia出i出UliJl»lHMcLgta切AJbnvC«i$-MMaCUP” 湎*tfipM*r,西r1囪2或onfif) 3UMEt 陋gfKaiJ I；QstMiJLf->pS*FPrbttaL-Mnn'4fxinWm*wif4*M修離DJCMKJUdMfiIMw0UU.A«f4¥RbLlc:<mXdzcih«匚ii”1二口(1±1<41parHaCEt.vxtlh-«cL：piriiadn.tJKtiE.|Iiwt1-11丸打"IWJ3"IE

8、4r"SiMg0TC"EIIhM匚L*!4，H""證|ittfirl*MrnilwH-eLurihLum事iW-K_“ri“rjJrIItKl=ILt,L叩劉IITI31I更tUE!m，JLEiElHH-1IJW*3*ecN2田mwm1A曉h±L*U£iEEHULhtkrsIitdAirsmiMti-eJraflabitHcttuhIFl-prMlWXfSbSrcLl.Sj3lhiLl.Lr-lll3«-1j協(xié)m4141813；<#4®>甲,(，七TlfLm1!，if4lEFMlJSbjMstl.aUu

9、ll-CLSjrt=kgEc=七，1擊i£l11414-ki：>r;1 f.T=*4七-工HEHGCiJ=1士>1r( -rC-,yw*曰一，苫L|F?h*axaul二一4-一工汽嘎鼻E3CmTl-snilViMawxB能Lb-35I.f1£m1LfiLMCA2Mk9ftti2t*右=t-*L.好E.1tr5cri*3暇K-Aittc-fi-"Ws>，iti.6工"工尋cfIMkAIT,iwiwll««iCibasismikJ'SICR3"”肥.Syjiwa.rurrflAEri«#faX

10、Ji.d'4I1-iwwG>iIf4'脂E*X；*>：=<»1q*1rnJf.#e'VCl«-v*ixrtC匚。Mwt.He2_fn,，二:必丁l，,-I人<>jIT*1111x4a1TnsTtq>J，ac3rEt-LB#g1廣. tilt144*加口14才上勺.*蛆d*lT&l：4kIX.ifliBC中匚*J.C.*i*ugi|Jfall,1*».i*«|：criiVA|'|K-lfr*rf9C-4*¥*-K¥ri*i1-K4&.Jl«&l

11、t;-hUlar.iITicavzicmjfl«g±rOHVil.oc«£JPo«LCiioiiGlc«-ijl*«4iUld<ifi£illi-4h>4-«fiulUtIAhIILMbIMati.£h.d(icmrd4T«u11>kJXMJkLMfi-CJitflCr.MKl"Gkri14CalbkrELfLCAElMjiJ!£jXii££-3三33MKU口E，1*SatjAtc一已3/dT.Ej«4i<0il

12、«-6«IJWEiicwAMI(1«EA!Tlk3IIE-liMl.tELklltld>EKXx*«1JJ!etn<n:j、ri1Lse«L0391*9133*:kL11JflhJl1*"Aikitib'li.*n"11(rt±4-a7It.jd-j-rzj!:-aiiu|-2.apktool反編譯工具：apktool這個(gè)工具比較簡單，直接(apktooldapkfile)就可以反編譯apk文件，反編譯出來的東西為smali反匯編彳碼、res資源文件、assets配置文件、lib庫文件，我們可以

13、直接搜索smali文件和資源文件來查找鏈接等。名稱assetsj.re&ismaltAndroidManifestxml一apktool.yinl2013/12/26文什夾2013/12/26星國文件夾2013/12/26星期,文件美2013/12/26星鼠”文件夾2013/12/26星勘“XMLJS2013n2/26星朗YML文件利用app查找網(wǎng)站真實(shí)IP除了app服務(wù)端的漏洞，還有一個(gè)比較好玩的利用方式，通過U集app里面的子域名ip來3Vput?1-電，*&Plrk.101ivi.町口VOT®!jJTlBtTFhirpi/zqx.f>>0j-Ril/

14、vqQ/m!,/匚4-*=I-二<<一的箕、口岑.c.i，r.a.-iwS|CX*一,電t;匚田jl#-q._-r.im.uhn/|Lf*c./krv：k=p+likhM>t1*1_DCtoUtaiHAm"mttU»rLb*hH."J|=：iPKtaHin.p.Lk*.pp、匕M、p*p工)*if1I*、玉)Ll.n«Hitt-iCAlLCTTtluctC>t«i*ftHt|jir/Z-irSti.kl>itn-H>EchL*.d-1j|r'-、A1i：i*Ipa|»jf、用.1，%*+2*

15、'JpVw11h-laK|Z.L,En45b=c-ho.-b>.耳匚由=J一曰二一kl-匕=匕一.=-1/=工=3.產(chǎn)1.±.=/=中，玄二予斤一.-.*-±=-d-d-«-ac-ai=J53D.：I<1：、口口女曜m/胸，/一行、女$y、*Lln>ii.*腓t呼，上力r'kEi,"i.+工n寸/工力不IfLrir，gr-'1f°y*=/«廿雷/vnirTlTi守E-Ji!riFTi1星口次40f*rA|<f|C)Li*B!srjli.efalui-'bA.Mt,0w»

16、、<i*hiiiKhy*Ie血、卜7爐*鼻,>«、1*|卜i%k>>jA'VriEih.thifc.jAfvjby$miivsvEl-h1n事門，ICI;，q»ar=AcLaiinliikn%5i-3E>a-t"S>|7、*GKK&fl%YrBbh,Erp，aF9rftgiia1Ri、g、aY，才hi£a中£91一"jr/T導(dǎo).r-*h-，-+-，不可口營鼻.*丁3u：TK：呼用幣i|or-*r禹aq弧門，1修，*寸-4|；、哲>niAdMEn4k=，itH=1Dwls.tvp

17、'BQadHt'ti修足|；，»«1!*91*/，、0|>1|)00Irw.>>¥$/54ikmter«ns%a«i.st-為二尸口丁/74.上”口111，.之11匚-30»1|10/入。修丁，/匕1¥口157二丁411e堇守里。"|才bklsciV»&»lfliaFln«&己，工看。PtuCTFi_"_IhCttKPi/Ia-nHim.n-.rifiiv4*4liei!/C4ir>w/>eptst-；-«

18、;Fni«<jHfll*J工寸/-iiUIAfbBi口“g-足，才通/>/*-1>，11-"。上。M:Llt1二puliliearmvlIetmil1.Srkinor'CH4HrAQ."13.xtc：/sua.cgi_d-.iinAiitrv-iizc-r/KdXKQBXun.rfld?aE'cnafl.nd!EC!id"4IC'tUwQrvAdalnlPtr«l*irl>aiili.tcip«?CMKiXqMiM«ipip%Miap«3qF4pIJia-YnfLli

19、，4工LLnAJDimrM酒丁淅與第八QJ"hl-Tiiiiqh川日歸itsn匕叫J|C.r«XJU-IAhIJk1E.ITA.LBJFJLQ*VL1.MUTAJFlLC-JB.3Llm37eact"nc.zp-:/u9.qiumtiDA.kv.c-ffi/'Miia£9L?»rcBimdrfli3.dL":TjLc叱1Vdtzf-Bi?t>rX/IT_3Q-1i.«.i-:_j>!ltarir-r-rnjciaqcjZIrudM,y/"rr«iart7arcJicirOldL*pkW

20、43ioilp*/wiLirp/F»./4j-3.ictarii/iwn丁，iiIl*誼例/IC：jjF*MF&*iiiik»ErfjpocKiaXqBfcttJiik*&X»oc|*iiiS-i-Ji.>avj»11imnILs。arpi£fci_±c=iai:L仁Ejlzlib.1二匚工:LnqJttiZSI-TriLlaqlumJiLba-Irn«c3rn-jICM1gVMi,l收”，4，蜉XanM*F'H對*%*I*中內(nèi)L1帕七，1rL/STJIFI*件iJ»&tKi|

21、ri3*ir<Mt,rpxint,0#ceOfr(»,»iisr/#|>ug|ft.pi«-M*-“/骷療.tR&«.>JH»IflCIF,lfcOlIIJ-*r-Mutarin;ltirrLk4Hkt-acbK-Ba-dut<gAp«Xp-uflb.-a.1j«va1hL牝，Xlr.h1-十9er4ng-r-h*r-eps/EUPh,fls,Jh：fr*1,-1=(«/p-usBh-7i*"tVM-EPnKDE.h*.£,ISIGK-bAAMmIHl1L'

22、;t-a-tvrXE?4VR.rlvplkmIbsXcivli54.ksi?pMpuBViJ-hvh(1TiIEt1LL。*，ILilitrL-.4*."t.Ct>-.*4*一*人更-7思,*/-n白iIClxua-jir«%.JLd*iaibLriLiapI>abLlt&&%ataJi'hqX>hN，PbbhILi-=上>4，feuw>>4iKl<p1LA4Itf-tubLie-rtf'電IrlL蠹o(jì)Uf1-*Fst%pllUab.Llbaikv."e«9f|Hir*JU1mf-

23、ni.I».ni-K>h.Ibl<.ufpiLmHb*'q1,4、."0，,r*tho!r、,lf1”i-Lih*JJJji二！1jln-LAfiJkAJ14.LJJLJFS+TT.»&看匕.=：IE!Hl-!JF134-r_|1Z."14LU/1L*HE.口NEfiV1ftij_#!匕k上%上*PiELJ>|,/.BH-J,L.,-"I.-.U_m/1*/*IQi外I,*/*，*FAP%4KM»q*bk、>*K»>%i»TVLHtQ,)AV«kI*11-Tb

24、3LL.ns2!7二期口HzLng1-HHpdl=uct-匚工nuunpuq|P-pan;(蚤匚p=.qL."-=,一，LLa=/hhetM工-.Xo-ca.3,H-aj014才曷，.|*1小5|觸1.，.|0|.|.町中&«上1|心小岫。、.|1141!*小|.，、事.尸廿114、1).Ii«vm11tiIT3Li|。呃5*，«c-F-i-.口.nFCFi事11aL節(jié)cechp時(shí)l-=，>i=-J-:fc1j|C;I3lB-h1"iaie.val'Lu*&J七<irfancMA'q.lLils.%.

25、4p、r1anJL»-qftJEaindk-T-二Cb/k.ZLnvtl<r，$Y*tn*em巾hEh，|ii/La«,h*+><>.,餐-nij-ppIoiqi".1w«1.7SO44Fbtiv£Si+fIST,1T11.hl"lFI-'C"。,，一!#«%,Fh,r-W3、.A5加,"FCli14,二Lie、JB/ht:x-Fhvw-nJ%uN£Hs3事的匕(Jb小心m1H配+v-nL.ipnaL<Jit.aLr«j./好hpubV."

26、;fit-1.|>i¥串tinr*-iqtu.n»-w，4wr4j口X事jh°finki:，P«)r-nlhv4J尋找目標(biāo)網(wǎng)站的真實(shí)IP,根據(jù)經(jīng)驗(yàn)，大多app的接口都沒有使用cdn等服務(wù)模事百科真實(shí)IP61-29rsTTL-54=25msTTL-54=29dsTTLW4國數(shù)據(jù)：生自202,162.45.H來百202.1(12.85.96虞百2a21。285.96方法二、https代理抓包a.在抓包機(jī)器上開啟代理，測試可以用代理程序，移動設(shè)備設(shè)置代理服務(wù)器。burp,需要自動化提交掃描任務(wù)可以自己寫一個(gè)b.在移動設(shè)備上操作ap

27、p,代理端抓取如下:、pingimg.qiiishibaike.con這個(gè)方法利用在移動設(shè)備上設(shè)置代理，通過人工操作使app與服務(wù)端交互,步驟：總結(jié)：整個(gè)思路已經(jīng)很清晰，那么其實(shí)要做的就是讓這個(gè)過程自動化，反編譯之后有一個(gè)問題，url不一定完整，很多URL都是拼接起來的，我嘗試寫一套分析引擎，自動化反編譯，然后通過對源碼的分析，拼接完整的apiurl，再進(jìn)行漏洞掃描。下圖是一個(gè)dome,后面準(zhǔn)備用python來寫，放到服務(wù)器上。廣*1drrie文件EC1UitrikAdhjmitr«tiirj|茸:Wft：11CMJL玷聞法院玄：*rHlenikl右*11/*r«lt

28、71;i-e1«umlflorry巾viallraofl»KwilvliriqwItvtR劃曲口KVfirc嗎乘La94餐vj電Ji仃i151WT£3I9Y司股熹健用EM2凡hs.915«*KI,頡，EM,4向時(shí)*用性用8*1pudaJi«j91ew1!TZT335TJ3北曼府安周皿4$.RI"tCW1152MI5<同IE發(fā)鼻屏EM下KU翱f/UI11第11%可1£5書世用Bpiy9Lcw121an.42前就里MitacDiTnE*LOT34%司就£胸鐘用m.cp*nv«iiwtn2301T47*朝聃手忖5辱Cg*tMuttij.Stco«