点击蓝字 · 关注我们
背景
嗨,这是我关于Android Hunting的第二篇文章,我将分享我的发现,我们如何才能在APK文件中找到最关键的信息,我看到大多数猎人喜欢使用Burp Suite进行动态测试,但我想建议您一些事情,有时我们必须专注于静态测试以发现更好的缺陷。
为了使撰写的内容有效且省时,我将使其尽可能短且内容丰富。
概要
该程序控制一米大约是一个新闻机构和他们的Web应用程序和他们的移动应用程序。我设法获得了本质上非常敏感的PII数据,包括他们的银行详细信息,例如银行交易信息,API密钥以及更多存储在excel文件中的信息。我通过公司的管理面板通过静态分析在其android应用程序中找到了这些excel文件。
攻击步骤
1:首先,我下载了目标apk文件。
2:使用Dex2jar工具将apk更改为jar。
3:在JD-Gui中打开jar文件
4:然后,我检查了com / target / global / Constants.java文件,并从此处获取了管理URL,并且在身份验证后,管理面板具有默认凭据admin:admin。我使用dirbuster进行内容发现,并得到了以下文件:具有大量信息和一些excel文件,包括银行详细信息。
在管理面板中通过身份验证后通过dirbuster获取文件
这是第一个具有用户详细信息的excel文件。
这些都是我可以共享的,其余的足够敏感,我无法共享。
END
几天后,我从公司获得了7000美元的PII详细信息赏金。
EDI安全
扫二维码|关注我们
一个专注渗透实战经验分享的公众号
本文始发于微信公众号(EDI安全):我如何为我的关键发现获得7000美元的错误赏金。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论