這篇文章從去年很早就想寫，一直沒時間，剛好過段時間有沙龍是講這方面的東西，整理了下就有了下文。

在上黨等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站設(shè)計、網(wǎng)站制作 網(wǎng)站設(shè)計制作定制網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站設(shè)計,成都全網(wǎng)營銷,成都外貿(mào)網(wǎng)站建設(shè),上黨網(wǎng)站建設(shè)費用合理。

[[110457]]

以往安全愛好者研究的往往是app的本地安全，比如遠(yuǎn)控、應(yīng)用破解、信息竊取等等，大多人還沒有關(guān)注到app服務(wù)端的安全問題，于是在這塊的安全漏洞非常多。

移動app大多通過web api服務(wù)的方式跟服務(wù)端交互，這種模式把移動安全跟web安全綁在一起。移動app以web服務(wù)的方式跟服務(wù)端交互，服務(wù)器端也是一個展示信息的網(wǎng)站，常見的web漏洞在這也存在,比如說SQL注入、文件上傳、中間件/server漏洞等，但是由于部分app不是直接嵌入網(wǎng)頁在app中，而是使用的api接口返回josn數(shù)據(jù)，導(dǎo)致掃描器爬蟲無法爬取鏈接。

下圖是抓的糗事百科糗事列表，contet字段內(nèi)容與我無關(guān) -_-|||

那么我嘗試去找app服務(wù)端的漏洞，目前想到的兩種方法：

1.反編譯APP 
2.http[s]代理抓包

那么有人應(yīng)該會提出問題，這兩種方式拿到的鏈接都是零零散散的，也不好找漏洞啊，我這邊的利用方式是把所有抓取的鏈接直接提交任務(wù)到多引擎web漏洞掃描器，掃描器可以批量掃SQL注入等等，其實除了這些漏洞，還有很多可以利用的信息。

一、反編譯APP

有兩種反編譯方式，dex2jar和apktool，兩個工具反編譯的效果是不一樣的，dex2jar反編譯出java源代碼，apktool反編譯出來的是java匯編代碼。

1. dex2jar反編譯

工具：dex2jar+jdgui

方法：

a. 修改apk為zip擴(kuò)展名

 

b. 解壓出classes.dex文件

c.使用dex2jar反編譯(dex2jar.bat classes.dex)

最后反編譯出來的源碼如下圖。雖然部分類被配置proguard.cfg 混淆了，但是還是可以利用的。

2. apktool反編譯

工具：apktool

這個工具比較簡單，直接(apktool d apkfile)就可以反編譯apk文件，反編譯出來的東西為smali反匯編代碼、res資源文件、assets配置文件、lib庫文件，我們可以直接搜索smali文件和資源文件來查找鏈接等。

利用app查找網(wǎng)站真實IP

除了app服務(wù)端的漏洞，還有一個比較好玩的利用方式，通過收集app里面的子域名ip來尋找目標(biāo)網(wǎng)站的真實IP，根據(jù)經(jīng)驗，大多app的接口都沒有使用cdn等服務(wù)。

糗事百科真實IP

#p#

二、http[s]代理抓包

這個方法利用在移動設(shè)備上設(shè)置代理，通過人工操作使app與服務(wù)端交互，

步驟：

a. 在抓包機(jī)器上開啟代理，測試可以用burp，需要自動化提交掃描任務(wù)可以自己寫一個代理程序，移動設(shè)備設(shè)置代理服務(wù)器。

b. 在移動設(shè)備上操作app，代理端抓取如下。

總結(jié)：

整個思路已經(jīng)很清晰，那么其實要做的就是讓這個過程自動化，反編譯之后有一個問題，url不一定完整，很多URL都是拼接起來的，我嘗試寫一套分析引擎，自動化反編譯，然后通過對源碼的分析，拼接完整的api url，再進(jìn)行漏洞掃描。

下圖是一個dome，后面準(zhǔn)備用python來寫，放到服務(wù)器上。

 

更多的玩法大家可以自己頭腦風(fēng)暴，還有一些好玩的東西過段時間搞好了會分享出來

本文名稱：移動APP安全在滲透測試中的應(yīng)用
分享鏈接：http://uogjgqi.cn/article/cdiidpc.html