千寻笔记:app小程序信息收集与抓包反编译

admin 2022年5月3日20:15:46移动安全评论33 views2342字阅读7分48秒阅读模式
千寻笔记:app小程序信息收集与抓包反编译
前言

在现在的网络环境中,各种安全问题层出不穷,不仅仅是网站,APP软件和微信小程序的安全也备受重视,本次给各位师傅们分享一些APP和微信小程序前期信息收集的方式和各种流量抓包姿势。

千寻笔记:app小程序信息收集与抓包反编译
APP篇

静态APP分析

首先,当我们拿到一个apk的安装包的时候,不用着急安装和反编译,我们可以先从静态的角度,通过一些安全分析平台和分析工具,对APP进行一个初步的了解。

平台:

这里给大家推荐两个常用的安全平台:

360完全免费的APP安全风险在线扫描服务,提供apk文件后,访问链接查看报告。

http://appscan.360.cn

腾讯金刚审计系统免费检测,上传apk文件,审计完成后邮件通知。    

https://service.security.tencent.com/kingkong

https://console.cloud.tencent.com/ms/scan

效果如下:

千寻笔记:app小程序信息收集与抓包反编译

我们可以看到,平台会对APK文件进行一个简单是信息扫描,显示出可能存在的漏洞风险,也可以作为我们后面渗透测试一个思路。

工具:

这里给大家推荐的是静态分析工具是ApkAnalyser,它会自动分析整个apk,然后提取出各种有用的信息,大家可以从中找到测试的突破口。但是缺点也很明显,就是有时候提取的信息不是特别的全面,更加全面有用的信息还是需要各位师傅去反编译中进行代码审计。

简单介绍一下ApkAnalyser是如何操作的:

首先,直接将apk包放入apps文件夹中:

千寻笔记:app小程序信息收集与抓包反编译

直接运行exe文件

千寻笔记:app小程序信息收集与抓包反编译

数据会保留在result中,我们就可以从中筛选有用的信息了

千寻笔记:app小程序信息收集与抓包反编译 

APP动态抓包

其实APP的抓包和网站的抓包类似,只是我们的电脑不能直接安装APK包,所以我们需要模拟器来中转一下,通过抓包工具和模拟器设置代理来实现抓包效果。下面给大家简单介绍一下三个市面上常见的抓包工具如何设置代理

Burpsuite

我们直接在Proxy新建一个代理,注意这里的ip地址选取我们本地的IP地址,不是127.0.0.1,每个人电脑都不同,需要自己去cmd命令中ifconfig查看,我这里设置的是192.168.1.28888端口,后续的模拟器也与其对应。

千寻笔记:app小程序信息收集与抓包反编译

茶杯/fiddler同理:

千寻笔记:app小程序信息收集与抓包反编译

千寻笔记:app小程序信息收集与抓包反编译

然后我们需要选一个模拟器,夜神,逍遥等等,随便选,除了雷电4。直接在网络中设置手动代理

千寻笔记:app小程序信息收集与抓包反编译

但是仅仅是这样还是不够的,我们还需要安装证书,这样才能确保我们的流量能够通过抓包工具后能被正常访问:

直接打开浏览器输入http://burp 点击右上角的CA

千寻笔记:app小程序信息收集与抓包反编译

进入文件系统的根目录下,将der后缀改为cer

千寻笔记:app小程序信息收集与抓包反编译

然后进入手机设置,选择安全-SD卡安装-选择我们修改的证书

千寻笔记:app小程序信息收集与抓包反编译

小提示:如果前期模拟器没有设置PID的话,还需要设置PID后才能安装。

茶杯/fiddler同理:

千寻笔记:app小程序信息收集与抓包反编译

大概总结一下三个工具优缺点

茶杯和fiddlerURL集体展示,方便查看,缺点就是有时候你找不到你点的地方在哪里;BP:点对点,精准把控,yyds

其它协议抓包:

因为有些数据,它不走http协议,这种数据包我们如何抓呢?可以通过科莱和wireshark来抓取我们想要的数据,操作也很简单选择对应网卡,直接查看数据,下面以科莱为例:

千寻笔记:app小程序信息收集与抓包反编译


APP反编译

我们看到在动态抓包的时候,出现的都是IP地址,是页面上的信息,但是在小程序的内部,也存在了很多我们在页面上看不到的地址信息,比如一些隐藏的js,管理地址等,这些地址信息往往会有意想不到的收获。这就需要反编译技术,现在的反编译大都借助于工具,这里也给大家推荐一款反编译工具AppInfoScanner,他不仅仅是可以反编译出软件的源码代,还可以在编译的过程中,提取出一些URL和图片信息,让渗透测试人员提前查看是否存在相关信息的泄露。

简单介绍一下AppInfoScanner,它是一款适用于以HW行动/红队/渗透测试团队为场景的移动端(AndroidiOSWEBH5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如:TitleDomainCDN、指纹信息、状态信息等。操作如下:

首先将需要反编译的apk包放在目录下:

千寻笔记:app小程序信息收集与抓包反编译

进入cmd 运行

python3 app.py android -i  xx.apk

千寻笔记:app小程序信息收集与抓包反编译

我们可以看到,它会提前整理显示出文件信息,各位师傅可以根据自己的经验去判断,是否存在有用的信息。

千寻笔记:app小程序信息收集与抓包反编译

运行完成后,会在out文件夹中,找到反编译好了的对应文件:

千寻笔记:app小程序信息收集与抓包反编译

我们再导入visualstudio或者微信开发者工具中查看即可

千寻笔记:app小程序信息收集与抓包反编译

 



千寻笔记:app小程序信息收集与抓包反编译
微信小程序

抓包:

小程序抓包方式比较多,主要就是通过中间代理,将数据传入到bp中,这里介绍一个比较简单的方式:

首先设置一下证书,在burpsuite中下载对应的CA证书,在internet选项-内容中直接导入证书

千寻笔记:app小程序信息收集与抓包反编译

然后在lnternet选项-连接中设置127.0.0.1:8080的代理,与burp对应

千寻笔记:app小程序信息收集与抓包反编译

然后我们打开微信设置网络代理:

千寻笔记:app小程序信息收集与抓包反编译

进入burp抓包:

千寻笔记:app小程序信息收集与抓包反编译

 

反编译

小程序的反编译和app一样,同样借助工具进行。但是不同的是小程序的包不叫apk,而叫wxapkg。首先我们需要找到小程序包的位置,这里我接触模拟器演示,各类模拟器小程序包的位置大同小异,大家根据如下图的路径寻找。

千寻笔记:app小程序信息收集与抓包反编译

提示:而且每个模拟器导出包的方式都不同,大家需要根据不同模拟器的官方说明去寻找导出包的方式

然后我们借助工具CrackMinApp,注意该软件需要在D盘中运行。

千寻笔记:app小程序信息收集与抓包反编译

 

千寻笔记:app小程序信息收集与抓包反编译

数据会保留在wxapkg文件夹中

千寻笔记:app小程序信息收集与抓包反编译

千寻笔记:app小程序信息收集与抓包反编译


完成,接下来的操作就需要各位师傅进行更加详细的安全渗透测试了。

千寻笔记:app小程序信息收集与抓包反编译
END


监制:船长、铁子   策划:格纸   文案:NaNNNNNN   美工:青柠

原文始发于微信公众号(千寻安服):千寻笔记:app小程序信息收集与抓包反编译

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月3日20:15:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  千寻笔记:app小程序信息收集与抓包反编译 https://cn-sec.com/archives/965315.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: