移动APP安全在渗透测试中的应用

1、以往安全爱好者研究的往往是app的本地安全，比如远控、应用破解、信息窃取等等，大多人还没有关注到app服务端的安全问题，于是在这块的安全漏洞非常多。移动app大多通过webapi服务的方式跟服务端交互，这种模式把移动安全跟web安全绑在一起。移动app以web服务的方式跟服务端交互，服务器端也是一个展示信息的网站，常见的web漏洞在这也存在，比如说SQL注入、文件上传、中间件/server漏洞等，但是由于部分app不是直接嵌入网页在app中，而是使用的api接口返回josn数据，导致扫描器爬虫无法爬取链接。NI*,=&SQL-X£0EncryptionEncoding'

2、;Other-J；LoadURLhttp:/m2i5hibaike.cci-m/article/11st/suggest?page-1Sicotint=3O&rqcnt=2j如眦URL)EjcecuteEnablePostdsta.EnableFteferreri.image:u；pubishedjts1335321632ji卜tag:rrME-titerIjj卜created_at:"CT|&last-device;nui!k-role:"n"(：ihlast_visted_at!"。"j|rstate:"sctiv

3、f"IIIplogin："川川同学”!：jL汨：喝2912口¥iiiLicon!"20121229150705.jpg"L-intonesize:n：,r；3|:(id；n65205COZrtE-votes1I；!downi-482I二up：9298createdat<1395321632-iikcontent:"平时尊欢持老公期的毛毛玩，各种持突发奇想要给翦个形状出来，于是昨天晚上iiLstate:"pubfch11：:4"iHrw-iimnjmsHr>*-"!>&町>&

4、quot;n,下图是抓的模事百科模事列表，contet字段内容与我无关那么我尝试去找app服务端的漏洞，目前想到的两种方法:1 .反编译APP2 .https代理抓包那么有人应该会提出问题，这两种方式拿到的链接都是零零散散的，也不好找漏洞啊，我这边的利用方式是把所有抓取的链接直接提交任务到多引擎web漏洞扫描器，扫描器可以批量扫SQL注入等等，其实除了这些漏洞，还有很多可以利用的信息。一、反编译APP有两种反编译方式，dex2jar和apktool,两个工具反编译的效果是不一样的，dex2jar反编译出java源代码，apktool反编译出来的是java汇编代码。1.dex2jar反编译工具：

5、dex2jar+jdgui方法：a.修改apk为zip扩展名3Jn：ebook.ka(tana_130155.zip-WinRARI=I0b.解压出classes.dex文件c.使用dex2jar反编译(dex2jar.batclasses.dexF-ex2jar-0-0.9.15>dex2ja>*.力atclasses.dex七嘉£相endisdepk*ecited#u等ethed2judex2Javx£possibledex2ja>«Mei*sionzti*ans1-atzof-0.0-9.15dex2jarclasses->clsse

6、s_dex2Jar<j-akrDone.,F二4多动安全研究32Ja0.0.9/5.最后反编译出来的源码如下图。虽然部分类被配置proguard.cfg混淆了，但是还是可以利用的。(U.dnJ.pia.jir-IIf)|旧Rd事事而年Sfi电Edv由Kb14k.inese>ffcomHuvnterab胜1icLsiaLid* 由VKEvptoan 出%Ff* 由niMMg*r 由m串Eat£i/一曲 中加金-.亡d«JhWHiiJO»Sl'O-1J.PlrtfrPirfl0*cic曲尤5MihID»jib电eJ1姐d11-gV向也mp

7、sdaBjfcj-wnntfl!旺Ia出i出UliJl»lHMcLgta切AJbnvC«i$-MMaCUP” 湎*tfipM*r,西r1囱2或onfif) 3UMEt 陋gfKaiJ I；QstMiJLf->pS*FPrbttaL-Mnn'4fxinWm*wif4*M修离DJCMKJUdMfiIMw0UU.A«f4¥RbLlc:<mXdzcih«匚ii”1二口(1±1<41parHaCEt.vxtlh-«cL：piriiadn.tJKtiE.|Iiwt1-11丸打"IWJ3"IE

8、4r"SiMg0TC"EIIhM匚L*!4，H""证|ittfirl*MrnilwH-eLurihLum事iW-K_“ri“rjJrIItKl=ILt,L叩刘IITI31I更tUE!m，JLEiElHH-1IJW*3*ecN2田mwm1A晓h±L*U£iEEHULhtkrsIitdAirsmiMti-eJraflabitHcttuhIFl-prMlWXfSbSrcLl.Sj3lhiLl.Lr-lll3«-1j协m4141813；<#4®>甲,(，七TlfLm1!，if4lEFMlJSbjMstl.aUu

9、ll-CLSjrt=kgEc=七，1击i£l11414-ki：>r;1 f.T=*4七-工HEHGCiJ=1士>1r( -rC-,yw*曰一，苫L|F?h*axaul二一4-一工汽嘎鼻E3CmTl-snilViMawxB能Lb-35I.f1£m1LfiLMCA2Mk9ftti2t*右=t-*L.好E.1tr5cri*3暇K-Aittc-fi-"Ws>，iti.6工"工寻cfIMkAIT,iwiwll««iCibasismikJ'SICR3"”肥.Syjiwa.rurrflAEri«#faX

10、Ji.d'4I1-iwwG>iIf4'脂E*X；*>：=<»1q*1rnJf.#e'VCl«-v*ixrtC匚。Mwt.He2_fn,，二:必丁l，,-I人<>jIT*1111x4a1TnsTtq>J，ac3rEt-LB#g1广. tilt144*加口14才上勺.*蛆d*lT&l：4kIX.ifliBC中匚*J.C.*i*ugi|Jfall,1*».i*«|：criiVA|'|K-lfr*rf9C-4*¥*-K¥ri*i1-K4&.Jl«&l

11、t;-hUlar.iITicavzicmjfl«g±rOHVil.oc«£JPo«LCiioiiGlc«-ijl*«4iUld<ifi£illi-4h>4-«fiulUtIAhIILMbIMati.£h.d(icmrd4T«u11>kJXMJkLMfi-CJitflCr.MKl"Gkri14CalbkrELfLCAElMjiJ!£jXii££-3三33MKU口E，1*SatjAtc一已3/dT.Ej«4i<0il

12、«-6«IJWEiicwAMI(1«EA!Tlk3IIE-liMl.tELklltld>EKXx*«1JJ!etn<n:j、ri1Lse«L0391*9133*:kL11JflhJl1*"Aikitib'li.*n"11(rt±4-a7It.jd-j-rzj!:-aiiu|-2.apktool反编译工具：apktool这个工具比较简单，直接(apktooldapkfile)就可以反编译apk文件，反编译出来的东西为smali反汇编彳码、res资源文件、assets配置文件、lib库文件，我们可以

13、直接搜索smali文件和资源文件来查找链接等。名称assetsj.re&ismaltAndroidManifestxml一apktool.yinl2013/12/26文什夹2013/12/26星国文件夹2013/12/26星期,文件美2013/12/26星鼠”文件夹2013/12/26星勘“XMLJS2013n2/26星朗YML文件利用app查找网站真实IP除了app服务端的漏洞，还有一个比较好玩的利用方式，通过U集app里面的子域名ip来3Vput?1-电，*&Plrk.101ivi.町口VOT®!jJTlBtTFhirpi/zqx.f>>0j-Ril/

14、vqQ/m!,/匚4-*=I-二<<一的箕、口岑.c.i，r.a.-iwS|CX*一,电t;匚田jl#-q._-r.im.uhn/|Lf*c./krv：k=p+likhM>t1*1_DCtoUtaiHAm"mttU»rLb*hH."J|=：iPKtaHin.p.Lk*.pp、匕M、p*p工)*if1I*、玉)Ll.n«Hitt-iCAlLCTTtluctC>t«i*ftHt|jir/Z-irSti.kl>itn-H>EchL*.d-1j|r'-、A1i：i*Ipa|»jf、用.1，%*+2*

15、'JpVw11h-laK|Z.L,En45b=c-ho.-b>.耳匚由=J一曰二一kl-匕=匕一.=-1/=工=3.产1.±.=/=中，玄二予斤一.-.*-±=-d-d-«-ac-ai=J53D.：I<1：、口口女曜m/胸，/一行、女$y、*Lln>ii.*腓t呼，上力r'kEi,"i.+工n寸/工力不IfLrir，gr-'1f°y*=/«廿雷/vnirTlTi守E-Ji!riFTi1星口次40f*rA|<f|C)Li*B!srjli.efalui-'bA.Mt,0w»

16、、<i*hiiiKhy*Ie血、卜7炉*鼻,>«、1*|卜i%k>>jA'VriEih.thifc.jAfvjby$miivsvEl-h1n事门，ICI;，q»ar=AcLaiinliikn%5i-3E>a-t"S>|7、*GKK&fl%YrBbh,Erp，aF9rftgiia1Ri、g、aY，才hi£a中£91一"jr/T导.r-*h-，-+-，不可口营鼻.*丁3u：TK：呼用币i|or-*r禹aq弧门，1修，*寸-4|；、哲>niAdMEn4k=，itH=1Dwls.tvp

17、'BQadHt'ti修足|；，»«1!*91*/，、0|>1|)00Irw.>>¥$/54ikmter«ns%a«i.st-为二尸口丁/74.上”口111，.之11匚-30»1|10/入。修丁，/匕1¥口157二丁411e堇守里。"|才bklsciV»&»lfliaFln«&己，工看。PtuCTFi_"_IhCttKPi/Ia-nHim.n-.rifiiv4*4liei!/C4ir>w/>eptst-；-«

18、;Fni«<jHfll*J工寸/-iiUIAfbBi口“g-足，才通/>/*-1>，11-"。上。M:Llt1二puliliearmvlIetmil1.Srkinor'CH4HrAQ."13.xtc：/sua.cgi_d-.iinAiitrv-iizc-r/KdXKQBXun.rfld?aE'cnafl.nd!EC!id"4IC'tUwQrvAdalnlPtr«l*irl>aiili.tcip«?CMKiXqMiM«ipip%Miap«3qF4pIJia-YnfLli

19、，4工LLnAJDimrM酒丁淅与第八QJ"hl-Tiiiiqh川日归itsn匕叫J|C.r«XJU-IAhIJk1E.ITA.LBJFJLQ*VL1.MUTAJFlLC-JB.3Llm37eact"nc.zp-:/u9.qiumtiDA.kv.c-ffi/'Miia£9L?»rcBimdrfli3.dL":TjLc叱1Vdtzf-Bi?t>rX/IT_3Q-1i.«.i-:_j>!ltarir-r-rnjciaqcjZIrudM,y/"rr«iart7arcJicirOldL*pkW

20、43ioilp*/wiLirp/F»./4j-3.ictarii/iwn丁，iiIl*谊例/IC：jjF*MF&*iiiik»ErfjpocKiaXqBfcttJiik*&X»oc|*iiiS-i-Ji.>avj»11imnILs。arpi£fci_±c=iai:L仁Ejlzlib.1二匚工:LnqJttiZSI-TriLlaqlumJiLba-Irn«c3rn-jICM1gVMi,l收”，4，蜉XanM*F'H对*%*I*中内L1帕七，1rL/STJIFI*件iJ»&tKi|

21、ri3*ir<Mt,rpxint,0#ceOfr(»,»iisr/#|>ug|ft.pi«-M*-“/骷疗.tR&«.>JH»IflCIF,lfcOlIIJ-*r-Mutarin;ltirrLk4Hkt-acbK-Ba-dut<gAp«Xp-uflb.-a.1j«va1hL牝，Xlr.h1-十9er4ng-r-h*r-eps/EUPh,fls,Jh：fr*1,-1=(«/p-usBh-7i*"tVM-EPnKDE.h*.£,ISIGK-bAAMmIHl1L'

22、;t-a-tvrXE?4VR.rlvplkmIbsXcivli54.ksi?pMpuBViJ-hvh(1TiIEt1LL。*，ILilitrL-.4*."t.Ct>-.*4*一*人更-7思,*/-n白iIClxua-jir«%.JLd*iaibLriLiapI>abLlt&&%ataJi'hqX>hN，PbbhILi-=上>4，feuw>>4iKl<p1LA4Itf-tubLie-rtf'电IrlL蠹oUf1-*Fst%pllUab.Llbaikv."e«9f|Hir*JU1mf-

23、ni.I».ni-K>h.Ibl<.ufpiLmHb*'q1,4、."0，,r*tho!r、,lf1”i-Lih*JJJji二！1jln-LAfiJkAJ14.LJJLJFS+TT.»&看匕.=：IE!Hl-!JF134-r_|1Z."14LU/1L*HE.口NEfiV1ftij_#!匕k上%上*PiELJ>|,/.BH-J,L.,-"I.-.U_m/1*/*IQi外I,*/*，*FAP%4KM»q*bk、>*K»>%i»TVLHtQ,)AV«kI*11-Tb

24、3LL.ns2!7二期口HzLng1-HHpdl=uct-匚工nuunpuq|P-pan;(蚤匚p=.qL."-=,一，LLa=/hhetM工-.Xo-ca.3,H-aj014才曷，.|*1小5|触1.，.|0|.|.町中&«上1|心小岫。、.|1141!*小|.，、事.尸廿114、1).Ii«vm11tiIT3Li|。呃5*，«c-F-i-.口.nFCFi事11aL节cechp时l-=，>i=-J-:fc1j|C;I3lB-h1"iaie.val'Lu*&J七<irfancMA'q.lLils.%.

25、4p、r1anJL»-qftJEaindk-T-二Cb/k.ZLnvtl<r，$Y*tn*em巾hEh，|ii/La«,h*+><>.,餐-nij-ppIoiqi".1w«1.7SO44Fbtiv£Si+fIST,1T11.hl"lFI-'C"。,，一!#«%,Fh,r-W3、.A5加,"FCli14,二Lie、JB/ht:x-Fhvw-nJ%uN£Hs3事的匕(Jb小心m1H配+v-nL.ipnaL<Jit.aLr«j./好hpubV."

26、;fit-1.|>i¥串tinr*-iqtu.n»-w，4wr4j口X事jh°finki:，P«)r-nlhv4J寻找目标网站的真实IP,根据经验，大多app的接口都没有使用cdn等服务模事百科真实IP61-29rsTTL-54=25msTTL-54=29dsTTLW4国数据：生自202,162.45.H来百202.1(12.85.96虞百2a21。285.96方法二、https代理抓包a.在抓包机器上开启代理，测试可以用代理程序，移动设备设置代理服务器。burp,需要自动化提交扫描任务可以自己写一个b.在移动设备上操作ap

27、p,代理端抓取如下:、pingimg.qiiishibaike.con这个方法利用在移动设备上设置代理，通过人工操作使app与服务端交互,步骤：总结：整个思路已经很清晰，那么其实要做的就是让这个过程自动化，反编译之后有一个问题，url不一定完整，很多URL都是拼接起来的，我尝试写一套分析引擎，自动化反编译，然后通过对源码的分析，拼接完整的apiurl，再进行漏洞扫描。下图是一个dome,后面准备用python来写，放到服务器上。广*1drrie文件EC1UitrikAdhjmitr«tiirj|茸:Wft：11CMJL玷闻法院玄：*rHlenikl右*11/*r«lt

28、71;i-e1«umlflorry巾viallraofl»KwilvliriqwItvtR划曲口KVfirc吗乘La94餐vj电Ji仃i151WT£3I9Y司股熹健用EM2凡hs.915«*KI,颉，EM,4向时*用性用8*1pudaJi«j91ew1!TZT335TJ3北曼府安周皿4$.RI"tCW1152MI5<同IE发鼻屏EM下KU翱f/UI11第11%可1£5书世用Bpiy9Lcw121an.42前就里MitacDiTnE*LOT34%司就£胸钟用m.cp*nv«iiwtn2301T47*朝聃手忖5辱Cg*tMuttij.Stco«