渗透测试基础 - APP渗透测试(上)
滲透測試基礎- APP滲透測試(上)
- 簡介
- 抓取手機數據包
- 實戰APP滲透測試
- 漏洞總結
只為對所學知識做一個簡單的梳理,如果有表達存在問題的地方,麻煩幫忙指認出來。我們一起為了遇見更好的自己而努力💪!
簡介
【本篇核心思想】
app滲透和web滲透沒有本質區別
在滲透測試這個領域,完全可以把這倆當成同一種東西
不管是手機APP還是電腦APP,其底層還是數據交互,只要能控制數據,就能實現測試效果
抓取手機數據包
本身想直接貼一人別人寫的操作步驟鏈接的,既然要講,就從頭到尾復習一邊好了。
這里以手機為切入點,當然需要一個手機了,但是這個手機我們讓它在電腦上運行,好配合我們的Burp來使用。
推薦 夜神模擬器,鏈接:https://www.yeshen.com/
下載之后點擊安裝,進入到如下界面
注意右邊欄的一些常用功能,如“文件助手”,“安裝APK”等
既然手機在電腦上有了 ,得考慮一下該怎么用Burp去抓這個手機的流量。
打開手機的設置,進入Wi-Fi
長按Wi-Fi 出現”修改網絡“
高級選項-設置代理-手動
注意,這里不要寫127.0.0.1,因為這個127.0.0.1,代表的并不是你本地的機器,而是這個模擬器的本地,所以這里要寫本地的ip地址。
在去到Burp上設置這個端口和本地ip的監聽
再回到手機的瀏覽器上訪問個地址,burp就顯示抓到數據包了
好了,手機抓取數據包的方式介紹完了,開始進入這次的靶場
實戰APP滲透測試
先在模擬器上安裝一個“信呼OA”的辦公app
進入APP,在又上角有一個“設置”,打開之后需要寫入系統的地址
我這里就寫靶場的地址
這就設置好了,這樣就是app上的操作,都會與剛剛地址的靶場進行交互
其實剛剛的靶場地址打開就是“信呼OA”的CMS,我等下還是直接已網站的方式進行操作【這個電腦暫時轉不了模擬器,但其實網站測試的數據和app是一樣的,就是沒了app滲透的儀式感😂】
進入網站,都沒個忘記密碼功能的,看來等下只能爆破了。先弄一個數據包下來看看情況。
直接就輸入admin admin 抓取數據包,從這個數據包里,能看到好多傳參數據,而且看到對我們的admin admin 進行了賬號密碼加密
把這個數據包弄下來看看
rempass=0&jmpass=false&device=1621067038169<ype=0&adminuser=YWRtaW4%3A&adminpass=YWRtaW4%3A&yanzm=這里來看看,admin到底是怎樣被加密為YWRtaW4%3A的
看到末尾有%3A,本能的反應是URL編碼,拿去試試看
這里解碼之后,%3A為一個冒號,這就比較奇怪了,冒號是不應出現在這里的,因為在傳參中這個有特殊意義,所以這里的冒號有蹊蹺,嘗試將冒號替換為等于號,然后去 base64 解碼一下看看
這樣就真相大白了,開發先將賬號密碼只加密為 base64,然后遍歷值,將``等于號,替換為冒號,那是不是就代表我們能爆破人家賬號了呢?非也,在相同的賬號密碼多重放了幾次,我收到了這樣的返回包
將這個值去解碼一下,看看是什么
看來這里還不能直接爆破,當我嘗試次數多了之后,會對我們實施攔截,可是問題來了,他是如何我嘗試了多次呢?再次觀察這個抓取下來的數據包
這個設備id引起了我的注意,有沒有可能是通過這個來確定我嘗試了多少次的,將值改變之后,在發過去試試
那這樣就對了 只要我們一直替換這個設備ID值,就能正常的去爆破賬號密碼,拿出我們的 base64 密碼本,替換等于為冒號。
1替換數字,2替換字典,開始爆破。
根據爆破出來的賬號密碼登陸進后臺,既然進了后臺了,那進直接找文件上傳點了
在這就看到一個文件上傳點,用圖片馬上傳了一個試試看【有關圖片的制作,可以看我前面寫的內容,鏈接:滲透測試基礎 - 文件上傳漏洞 (上)】
上傳數據包抓住,設置一個抓返回包,
在這個返回的數據包里面看到了,傳上去之后,這個圖片所在目錄在哪。
就然有位置,那就去訪問一下看看
能訪問,但是沒數據,那來都來了,和不試一下CGI解析漏洞【CGI解析漏洞前面也有 ,鏈接:滲透測試基礎 - 文件上傳漏洞 (下)
這樣就能拿著這個去鏈接服務器了。
漏洞總結
APP滲透與普通的滲透測試無差別,所有防護方攻擊方式也基本一樣
以這里的靶場為例子來做防護的方法的話,建議一下幾點:
《最好的防御,是明白其怎么實施的攻擊》
總結
以上是生活随笔為你收集整理的渗透测试基础 - APP渗透测试(上)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 面试要求精通单片机c语言,献给广大单片机
- 下一篇: 瓦里安将携肿瘤治疗尖峰技术和智慧放疗云生