我如何为我的关键发现获得7000美元的错误赏金。

  • A+
所属分类:安全文章

点击蓝字 ·  关注我们

01

背景

嗨,这是我关于Android Hunting的第二篇文章,我将分享我的发现,我们如何才能在APK文件中找到最关键的信息,我看到大多数猎人喜欢使用Burp Suite进行动态测试,但我想建议您一些事情,有时我们必须专注于静态测试以发现更好的缺陷。

为了使撰写的内容有效且省时,我将使其尽可能短且内容丰富。

02

概要

该程序控制一米大约是一个新闻机构和他们的Web应用程序和他们的移动应用程序。我设法获得了本质上非常敏感的PII数据,包括他们的银行详细信息,例如银行交易信息,API密钥以及更多存储在excel文件中的信息。我通过公司的管理面板通过静态分析在其android应用程序中找到了这些excel文件。

03

攻击步骤

1:首先,我下载了目标apk文件。

2:使用Dex2jar工具将apk更改为jar。

3:在JD-Gui中打开jar文件

4:然后,我检查了com / target / global / Constants.java文件,并从此处获取了管理URL,并且在身份验证后,管理面板具有默认凭据admin:admin。我使用dirbuster进行内容发现,并得到了以下文件:具有大量信息和一些excel文件,包括银行详细信息。

我如何为我的关键发现获得7000美元的错误赏金。

在管理面板中通过身份验证后通过dirbuster获取文件

我如何为我的关键发现获得7000美元的错误赏金。

这是第一个具有用户详细信息的excel文件。

这些都是我可以共享的,其余的足够敏感,我无法共享。

04

 END

几天后,我从公司获得了7000美元的PII详细信息赏金。

EDI安全

我如何为我的关键发现获得7000美元的错误赏金。

扫二维码|关注我们

一个专注渗透实战经验分享的公众号



本文始发于微信公众号(EDI安全):我如何为我的关键发现获得7000美元的错误赏金。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: