AppinfoScanner资产提取

AppinfoScanner一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具，可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如：Title、Domain、CDN、指纹信息、状态信息等。

这种提取是基于静态的反编译提取，从代码中提取，基于内在提取。
项目地址：https://github.com/kelvinBen/AppInfoScanner
运行环境：python38

安装：G:python38Scriptspip.exe install -r requirements.txt
提取：G:python38python.exe app.py android -i 贵妃.apk

结果的URL保存在当前目录result_20220512092902.xls文件中，提取出来的文件会保存到out目录下
这个提取与配置burpsuite抓包不同，在burpsuite配置代理，打开逍遥模拟器。很明显这些数据包不一样，跟使用工具抓到的URL有着一定的区别

MobSF安全评估

移动安全框架 (MobSF) 是一种自动化的一体化移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件（APK、XAPK、IPA 和 APPX）以及压缩源代码，并提供 REST API 以与您的 CI/CD 或 DevSecOps 管道无缝集成。动态分析器可帮助您执行运行时安全评估和交互式仪器测试。
项目地址：https://github.com/MobSF/Mobile-Security-Framework-MobSF
安装环境：
docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8008:8000 opensecurity/mobile-security-framework-mobsf:latest
访问：175.178.151.29:8008

访问后可以进行上传app来进行分析，但是外网服务器分析错误。
可以使用虚拟机集成的MobSF来进行测试
访问地址：http://192.168.233.154:8000/
上传APK，需要不带中文名，比如1.APK等

mobexler

Mobexler是基于Elementary OS的定制虚拟机，旨在帮助进行Android和iOS应用程序的渗透测试。Mobexler预装了各种开源工具，脚本，黑客必备软件等，这些都是安全测试Android和iOS应用程序所必需的。
项目地址：https://mobexler.com/
里面集成很多软件，比如 Android Stuido Fride MobSF等

这个系统也有friad这个软件，需要用usb接口进行连接后进行测试。

原文始发于微信公众号（小C学安全）：【APP小程序】移动安全系统&资产提取&评估扫描