移动端渗透测试解决方案

这里只说在没有真机的情况下如何进行渗透测试，有关这方面的文章太多了这里就不过多说了，现在用来展示的就是夜神模拟器。但是实际上大多数文章都只是直接在bp中下好的证书直接装在模拟器里面进行抓包，确实对于大部分的app是都没有做防护直接能够抓到包的，但这次测的这个app确实十分的狡诈，在系统登录之前是可以直接抓包的但在登录之后发现bp一片死寂还以为出毛病了，但反复试过多次才发现是做了一定防护的，所以主要讲讲后面这个方法。
先上菜~：Burp + Charles + Postern + yeshen模拟器。
Charles下载地址: https://www.charlesproxy.com/
激活地址：https://www.zzzmode.com/mytools/charles/
Postern就是安卓代理工具可以使用socks5代理，可以替换成其他的代理工具只要能设置socks5就行。
Charles安装好后点击Help ==> Register 注册就行，名字自己取然后去激活地址填上把密钥粘过来就行，注册完成后需要先进行本机电脑证书的安装(注意这里的证书和手机的证书不同),Help ==> SSLProxying ==> install Charles certifaction 跟着安装就行，随后就需要下载手机端的证书了，直接访问 chls.pro/ssl 会自动下载pem证书直接装就行，证书安装过程就不过多说了和bp证书是一样的。
准备好后，点击Proxy ==> proxy settings ==> 勾选SOCKS5代理即可。

端口自定义需要记住，等下在手机端设置代理时要用到。再点击Proxy ==> external proxy settings ==> 勾选Web Proxy和Secure Web Proxy，再设置Web Proxy Server 为bp上的代理即可抓包。

打开yeshen模拟器安装好Poster，如果有什么弹窗关掉就行不影响正常使用。

点击添加代理服务器，然后按下图填就行，服务器地址就填本机的IP地址，端口就是上面定义的，点击保存即可，其余的可以直接删掉。

设置完后还需点左上角展开之后的配置规则(其实跟proxifier的操作差不多)。随后点击添加规则，如下图2.

保存完后就可以正常开bp进行抓包了~~，这里就不贴对比图了可以自己测试一下。

@echo off
setlocal
set BASENAME=apktool_
chcp 65001 2>nul >nul
 
set java_exe=java.exe
 
if defined JAVA_HOME (
set "java_exe=%JAVA_HOME%binjava.exe"
)
 
rem Find the highest version .jar available in the same directory as the script
setlocal EnableDelayedExpansion
pushd "%~dp0"
if exist apktool.jar (
    set BASENAME=apktool
    goto skipversioned
)
set max=0
for /f "tokens=1* delims=-_.0" %%A in ('dir /b /a-d %BASENAME%*.jar') do if %%~B gtr !max! set max=%%~nB
:skipversioned
popd
setlocal DisableDelayedExpansion
 
rem Find out if the commandline is a parameterless .jar or directory, for fast unpack/repack
if "%~1"=="" goto load
if not "%~2"=="" goto load
set ATTR=%~a1
if "%ATTR:~0,1%"=="d" (
    rem Directory, rebuild
    set fastCommand=b
)
if "%ATTR:~0,1%"=="-" if "%~x1"==".apk" (
    rem APK file, unpack
    set fastCommand=d
)
 
:load
"%java_exe%" -jar -Xmx1024M -Duser.language=en -Dfile.encoding=UTF8 -Djdk.util.zip.disableZip64ExtraFieldValidation=true -Djdk.nio.zipfs.allowDotZipEntry=true "%~dp0%BASENAME%%max%.jar" %fastCommand% %*
 
rem Pause when ran non interactively
for %%i in (%cmdcmdline%) do if /i "%%~i"=="/c" pause & exit /b

处理完反编译后需要模拟运行app去调试，这里我们需要用到Drozer(以下简称dz)，dz是安卓应用测试框架，有关它的文章很多，但是绝大多数都停留在dz2的版本，这个版本下只能使用python2.7会导致用起来很麻烦，实际上dz是有在更新的(虽然很慢)看dz的GitHub地址上已经有dz3的版本了，包括dz-agent也同步到3了，所以我们主要讲讲新的dz框架的使用。
先上需要备齐的菜：adb + kali(要有Docker) + dz3 + dz-agent3
adb：https://developer.android.google.cn/tools/releases/platform-tools?hl=zh-cn
dz-agent3: https://github.com/WithSecureLabs/drozer-agent/releases/
docker先拉取dz3：docker pull withsecurelabs/drozer，再将dz-agent3的apk拖到yeshen模拟器中即可。随后将adb的环境变量配好，cmd输入adb出现下图即可。

因为这里我们是使用kali进行调试的会导致一个问题，也就是我们adb连接127.0.0.1:62001(yeshen模拟器的端口)时是可以直接连接的，但是我们连接192.x.x.x:62001地址时会失败，并且查询开放端口192地址也是不会开放的。

那我们怎么用kali去连接dz-agent呢？这里我们需要进行几次本机的端口转发才行，先将62001转发到18888端口：netsh interface portproxy add v4tov4 listenport=18888 listenaddress=0.0.0.0 connectport=62001 connectaddress=127.0.0.1
这个时候我们就去连18888端口就行了：adb connect xxxxxx:188888 ，发现连接成功。

在模拟器里点击安装好的dz-agent，然后点击启动即可，dz-agent默认开启端口为31415.

先需要用adb做一次转发：adb forward tcp:31415 tcp:31415

同样这里的端口是kali无法直连的依旧需要同上述进行一次转发：netsh interface portproxy add v4tov4 listenport=18889 listenaddress=0.0.0.0 connectport=31415 connectaddress=127.0.0.1
转发完之后就可以用dz3去连接了，kali命令输入：docker run --net host -it withsecurelabs/drozer console connect --server xxxxx:18889

然后就可以使用dz进行进一步的渗透测试了。