Android渗透整合工具包(工具自取)

admin 2022年4月7日20:46:42评论179 views字数 1395阅读4分39秒阅读模式

              猩红实验室  欢迎投稿分享交流

Android渗透整合工具包(工具自取)

 


免责声明:该⽂章仅供安全学习和技术分享,请勿将该⽂章和⽂章中提到的技术⽤于违法活动上,切勿在⾮授权状态 下对其他站点进⾏测试,如产⽣任何后果皆由读者本⼈承担,与猩红实验室⽆关!如有侵权,联系删除,转载请注明出处,感谢!

 

0x00  前言

  在主机日益加固的今天,web层次的渗透越来越难了,于是转战新的方向,Android渗透,在渗透测试和外部打点时,如果对目标系统没有有效的思路时,不妨试着从小程序下手。

 

0x01  正文

  本文章为大家带来了Android渗透实战中可能会用到的工具,选择合适的工具可以大大提高工作效率。文末有打包好的全部工具,回复自取。

 

0x01-1  platform-tools

  多款工具合集,其中包含了adb等多项工具。

0x01-2  fiddler

  一款免费且功能强大的数据包抓取软件。它通过代理的方式获取程序http通讯的数据,可以用其检测网页和服务器的交互情况,能够记录所有客户端和服务器间的http请求,支持监视、设置断点、甚至修改输入输出数据等功能。fiddler包含了一个强大的基于事件脚本的子系统,并且能够使用.net框架语言扩展。所以无论对开发人员或者测试人员来说,都是非常有用的工具。

0x01-3  逍遥模拟器

  在测试的过程中,有些时候不方便在真机中进行测试,所以需要一台模拟器进行调试,本文中选择的是逍遥模拟器,其他雷神模拟器等也可以自行选择。

0x01-4  Xposed框架&JustTrustMe插件

  由于SSL pinning技术的存在,Android不能像web一样直接抓包,所以我们选择使用Xposed框架&JustTrustMe插件突破SSL pinningXposed框架应用商店搜索即可(在真机上装容易变砖头,一定要用模拟器)。

0x01-5  jadx

  平时在对网页进行爬取时,能够比较容易的看见网页的源代码,但是,如果想查看Android应用的代码,就需要将该应用的APK安装包反编译成可读的代码。JADX是一款开元的APK反编译工具,我们可以用它将APK反编译成代码,这也是我们进行APP逆向必须经历的一个步骤。

0x01-6  drozer

  drozer的基本功能感觉就是通过分析AndroidManifest.xml,看四大组件中有没有可export的,如果有那么就去详细查看这些可export的组件是不是真有问题。

  注意drozerPy27编写,不支持python3.x

0x01-7  BurpSuite2022.1破解版

  Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多Burp工具,这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用的方式发起攻击。

它主要用来做安全性渗透测试,可以实现拦截请求、Burp Spider爬虫、漏洞扫描等类似FiddlerPostman但比其更强大的功能

0x01-8  Apkinstall

  Apk安装工具

 

0x02  整合上述所有工具的工具包,获取方式:

  Android工具包链接: https://pan.baidu.com/s/111nqW-eYnrYhYv32XYt-BA 提取码:9wdd

 

原文始发于微信公众号(李白你好):Android渗透整合工具包(工具自取)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日20:46:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Android渗透整合工具包(工具自取)http://cn-sec.com/archives/882647.html

发表评论

匿名网友 填写信息