精华内容
下载资源
问答
  • 前几天在测试某个APP,用工具简单扫描后,提示存在sql注入,而且是时间盲注,简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面...

    前几天在测试某个APP,用工具简单扫描后,提示存在sql注入,而且是时间盲注,简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不同来判断信息(可能是页面内容的不同,也可以是响应时间不同)。

    存在注入的链接

    使用的是post提交参数,这个是扫描器给出的测试语句

    POST /app/systemmsg/QRY_SYSTEM_MSG.action HTTP/1.1
    Content-Length: 219
    Accept: */*
    User-Agent: Mozilla/5.0 (Linux; Android 5.1.1; NX529J Build/LMY47V) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Crosswalk/15.44.384.13 Mobile Safari/537.36x5app/3.2.16
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    Accept-Language: zh-cn
    Connection: close

    loginStaffId=214350&token=78ecb4abf699b1a085cd313f5c83c81a&service_v=3.0&appVersion=3.2.16&params=%7b%22recive_staff_id%22%3a214350%2c%22log_type%22%3a%2203%2c04%2c05'%2b(select*from(select(sleep(20)))a)%2b'%22%2c%22pageSize%22%3a10000%2c%22pageStart%22%3a0%7d
    猜测可能没有过滤加号
    删掉了一些敏感信息,探测的语句如上,
    解码后关键的注入地方为log_type":"03,04,05'+(select*from(select(sleep(20)))a)+'
    一开始测试的时候,在log_type输入任意的注入语句都会sleep成功,以为是误报,后来用了regexp '^xx'来匹配数据库的内容,匹配成功再sleep,最后的payload如下
    payload:loginStaffId=214350&token=78ecb4abf699b1a085cd313f5c83c81a&service_v=3.0&appVersion=3.2.16&params={"recive_staff_id":214350,"log_type":"03,04,05'+(select*from(select((select database()) regexp '^w' and sleep(5)a)+'","pageSize":10000,"pageStart":0}
    sleep在where语句中会被计算多次,在实际应用中需要根据表中的记录数,做相应的处理。这次测试的页面匹配数据库中以w开头的数据库,sleep(5)的时间延长到10,猜测可能存在两个以w打头的数据库,触发两次sleep()延迟10秒
    写了一个简单的py脚本,比较菜,写得不好

    最后爆出来的数据库名为wxxxdb,到开发人员那边去核对,的确是这个数据库名,哈哈

    同样存在注入的还有一个链接

    payload和刚刚的一样,但是这个链接的sleep时间为原本的4倍。

     

    转载于:https://www.cnblogs.com/nicksec9101/p/7371599.html

    展开全文
  • 天无聊,看到朋友发过来一个信息,说要测试一个app。只扔过来一个链接,其余什么都没有。 ...现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。 废话不多说下载app扔到...app渗透

    某天无聊,看到朋友发过来一个信息,说要测试一个app。只扔过来一个链接,其余什么都没有。

    在这里插入图片描述
    就一个下载页面然后点击下载即可开启“致富”人生。现在很多棋牌都是这种套路直接扔一个静态页面下载软件开玩。真的是能省多少省多少。

    废话不多说下载app扔到模拟器测试。

    模拟器打开如下:
    在这里插入图片描述
    点击没反应,以为是模拟器的问题于是换个模拟器继续测试发现问题一样。猜测是检测模拟器与手机。现在很多棋牌app都是会检测模拟器的,发现是模拟器运行会各种错误。

    于是手机安装:
    在这里插入图片描述
    发现可以正常运行。实锤了是检测模拟器与手机。

    app渗透的本质和web渗透区别不大,抓包测试。不过app的数据包有时候在pc打端不开因为不是web服务。

    开始抓包:

    游戏打开的时候会自动更新,更新数据包如下:
    在这里插入图片描述
    某某的一款app,目测是其中一个app还有很多个这样的app的。

    进入游戏界面抓包:这是注册后进来的首页数据包。还有很多页面手测的数据包不一一发了因为没意义。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    可能是时间延迟注入,扔到sqlmap:

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    mssql数据库,不是dba权限,不是sa。直接扔掉因为不能getshell。脱库我对这种没兴趣没有脱库什么的因为没意义。

    继续测试:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    越权漏洞。修改id可任意查看玩家信息。

    接着测:

    游戏里有一个用金币买东西的活动,可以赢的时候多赢。经测试错在逻辑漏洞可以一直放包一直买不过没多大用。因为就算你买了也不行要充值够多少才可以使用。去你码的吧。

    然后我账号就被封了。
    在这里插入图片描述

    至此一共发现sql注入+越权+逻辑。

    app逆向和渗透关系不大相当于pc逆向,顶多破解APP客户端。达不到渗透的作用。

    没了。

    展开全文
  • 盟 Android+APP渗透测试方法大全 内部培训资源 盟 Android+APP渗透测试方法大全 内部培训资源
  • 被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼...app渗透测试,来源的威胁不外乎三方面: 其实web端好像也是这三方面哈。 面临的主...

    被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼,说好的web渗透测试和服务器端渗透测试呢,虽然懵逼,不过凭借我强大的自学能力,有了下面这篇文章,工欲善其事,必先利其器。先整理好思路,渗透起来才能顺利不迷茫。

    安全威胁分析:

    app渗透测试,来源的威胁不外乎三方面:

     

    其实web端好像也是这三方面哈。

    面临的主要风险 :

    客户端:

    • 反编译
    • 调试
    • 加密/签名破解
    • 输入记录
    • 导出组件
    • 进程注入
    • 。。。

    数据传输:

    • 信息泄露
    • 传输数据篡改
    • 重放攻击

    服务端:

    • 心血
    • ST2
    • 注入
    • 跨站
    • 越权执行
    • 上传下载
    • 弱口令

    APP安全测试内容 :

    以及服务器和业务逻辑安全

     

    安全测试流程:

     移动APP安全测试要点

    安全检测要点:

    Allowbackup漏洞

    AndroidManifest.xml文件中allowBackup属性值被设置为true。当allowBackup标志为true时,用户可通过adb backup来进行对应用数据的备份,在无root的情况下可以导出应用中存储的所有数据,造成用户数据的严重泄露。

    修复建议:

    将参数android:allowBackup属性设置为false,不能对应用数据备份。

     

    WebView漏洞

    应用中存在WebView漏洞,没有对注册JAVA类的方法调用进行限制,导致攻击者可以利用反射机制调用未注册的其他任何JAVA类,最终导致javascript代码对设备进行任意攻击。

    修复建议:

    通过在Java的远程方法上面声明一个@JavascriptInterface 来代替addjavascriptInterface;

    在使用js2java的bridge时候,需要对每个传入的参数进行验证,屏蔽攻击代码;

    Note :控制相关权限或者尽可能不要使用js2java 的bridge 。

     

    关键数据明文传输

    应用程序在登录过程中,使用http协议明文传输用户名和密码,并未对用户名和密码进行加密处理。通过监控网络数据就可以截获到用户名和用户密码数据,导致用户信息泄露,给用户带来安全风险。

    修复建议:

    在传输敏感信息时应对敏感信息进行加密处理。

     

    任意账号注册

    使用手机号133*****887注册某个APP,获取验证码46908;

    在确认提交时,拦截请求,修改注册的手机号码,即可注册任意账号,这里修改为1338*****678(任意手机号);

    分别使用133*****887和133*****678(任意手机号)登录,均可以通过验证登录,看到最终结果。

    修复建议:

    注册过程最后的确认提交时,服务器应验证提交的账号是否是下发验证码的手机号。

     

    登录界面可被钓鱼劫持

    应用存在钓鱼劫持风险。应用程序没有做防钓鱼劫持措施,通过劫持应用程序的登录界面,可以获取用户的账号和密码,可能导致用户账号信息的泄露。

    修复建议:

    应用程序自身通过获取栈顶activity,判断系统当前运行的程序,一旦发现应用切换(可能被劫持),给予用户提示以防范钓鱼程序的欺诈。

    获取栈顶activity(如下图),当涉及敏感activity(登录、交易等)切换时,判断当前是否仍留在原程序,若不是则通过Toast给予用户提示。

    使用HTML5架构或android+HTML5混合开发,实现登陆、支付等关键页面,降低被劫持的风险。

     

    移动APP典型安全漏洞

    在对移动APP的渗透测试工作中个,博主总结了几个常见的移动APP安全漏洞,包括图形验证码逻辑后门、用户敏感信息泄露、开发商被渗透,各位APP开发工程师,需要注意一下。

    图形验证码逻辑后门

    案例概述

    A公司是一个已经上市的信息科技公司,国内多家商业银行都是其客户。在分析A公司的移动银行产品时,发现产品的图形验证码机制存在逻辑后门可以被绕过,利用这个缺陷可以窃取大量用户账号。由于外包团队的代码复用,我们已经在至少两家商业银行的移动银行系统中复现了这个安全问题。

    后果:大规模账号暴力破解攻击。

    一般来说,大部分用户都习惯将移动银行密码设置为六位数字,而且查询密码和交易密码也有很大的概率设置为相同的。攻击者可以查找该地区的手机号码段范围作为登录用户名,以六位数字组成的密码字典进行暴力破解,几十万移动银行帐户信息唾手可得。

     

    用户敏感信息泄露

    案例概述

    B公司也是一家上市的科技公司,其金融客户遍布全国,采用B公司移动银行方案的客户包 括至少两家全国性股份制商业银行和多家城市商业银行。在分析B公司的移动银行产品安全性时,发现没有关闭服务端的调试接口,造成大量的用户敏感信息泄露。这种问题其实也比较常见,往往是外包开发完成后上线过程的疏忽造成的,实际上更常见的例子是Android客户端通过logcat输出调试信息的问题。

    调试接口会将用户转账的详细信息输出到 web 目录的 test.log 文件中。攻击者可以通过浏览器直接访问到这个 log 文件,该系统的每一笔转账交易都记录在其中,从中可以获取大量的用户账号、手机号、卡号和交易密码等信息。

     

    开发商被渗透

    案例概述

    国内某漏洞平台曾经曝光过这样一个漏洞:某大型银行的移动银行ios客户端中存在一个txt文件,文件中存储了一个svn服务器的ip地址、用户名和密码,黑客解压出该文件获取信息后可以直接连上并checkout服务器上的文件。

    svn 服务器上存储的内容包括该银行移动银行系统的全部项目文档、完整的 Android IOS 客户端代码,甚至还存放了用于客户端签名的数字证书。

     

    本文在通过互联网其它文章学习之后归纳整理,供工作时参考。具体的渗透工具教程,下次再更。

     

     

    展开全文
  • 记一次色情app渗透测试

    万次阅读 热门讨论 2020-06-25 22:31:17
    找到某app的界面: 咳咳,表哥们别想太多哈,本人纯情小处男,啥都不知道啥都不懂 看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!!真的很没意思,一点互联网资源共享精神都没,这就很过分了,...

    前言:

    某个星期六的晚上,我还在挖 edusrc ,刚 getshell 内网漫游完(纯属放屁哈哈哈)准备下机睡觉,修君表哥给我发了某站(表哥们懂的,疯狂暗示),我打开一看,WC好东西,不渗透一波怎么能对得起它呢?

    背景:

    找到某app的界面:
    在这里插入图片描述

    咳咳,表哥们别想太多哈,本人纯情小处男,啥都不知道啥都不懂
    在这里插入图片描述
    看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!!真的很没意思,一点互联网资源共享精神都没,这就很过分了,这么好的东西怎么能吃独食??必须安排一波

    过程:

    看了看功能点,有一个注册的地方,但是注册的时候居然要邀请码!!!真的很没意思,一点互联网资源共享精神都没,这就很过分了,这么好的东西怎么能吃独食??必须安排一波,没办法,看着到手的资源就要飞了,于心不忍啊,于是将app放到虚拟机,通过抓包拿到其真实域名
    在这里插入图片描述
    然后利用bp的爬虫爬到一处api接口

    在这里插入图片描述
    提示参数缺失 fuzz一波参数
    fuzz.jpg (自行脑部bp fuzz图 忘了截图了)
    在这里插入图片描述
    http://www.xxxxxxx.cn/api/index/tab3?p=1&t=3&v=0&s=0
    然后就是一波中奖

    在这里插入图片描述但是不是DBA 也无法写文件 数据库实在太乱了 懒得一个一个的读
    目前后台地址也还没找到 而且这个站及其的卡 思路完全乱了,,

    想着先利用注入搞一个账号出来 然后登录该app,,看看app内有无什么可利用的
    但是除了一处留言反馈准备测试xss之外,就是各种诱惑。。。。
    留言框只允许中文以及中文符号,但是却是使用js进行验证,抓包即可绕过

    在这里插入图片描述对着该处留言框就是一顿乱插
    中途等了大概10分钟 就当我以为要失败的时候
    在这里插入图片描述
    果然,,菜逼运气好==
    拿到后台登录地址 虽然没有cookie 但是利用注入点读出了后台账号密码
    在这里插入图片描述
    最后登陆后台
    在这里插入图片描述在这里插入图片描述

    看了看后台,app总用户达到1w+…一天用户增加500+
    在这里插入图片描述
    翻了下后台的功能,,发现一处图片上传,而且似乎是js验证的图片类型

    在这里插入图片描述但是在实际上传中 各种失败,应该是前台js验证+后端功能让所有上传的文件强制改名为.jpg

    接下来的事就比较好玩了,虽然拿到了后台,但是没法突破,没卵用
    于是我添加了后台留的一个QQ号
    在这里插入图片描述对方秒通过,经过简单的交流,发现他是这套程序的二开作者,售卖给别人被别人用来当作淫秽视频传播盈利网站了。于是我就将计就计,先唬住他(我摊牌了,我是演员)
    在这里插入图片描述在这里插入图片描述这个地方 hw 和授权书只是我骗他的==
    各位表哥看着爽就行

    在这里插入图片描述在这里插入图片描述甚至他把他的网站后台账号密码都给我了。。。

    在这里插入图片描述tips:以上内容都是瞎编的,大佬们不要当真!

    通过他提供的部分上传验证源码,发现是后段对上传文件强制改名了,我人都傻了,大佬们有绕过思路可以在下方评论

    最后还是没拿到shell等等,,也就是只止步于后台了。
    一方面是这个后台实在太鸡儿卡了,动不动无法响应
    另一方面就是漏洞利用手法没有全面利用,导致忽略了很多getshell的姿势,还是太菜了呜呜呜,表哥们轻喷。
    在这里插入图片描述

    最后,这里附上修君表哥博客:http://www.xiu09.cn/

    展开全文
  • 网上搜集了一些App安全学习教程及工具,项目地址:https://github.com/Brucetg/App_Security 一. drozer简介 drozer(以前称为Mercury)是一款Android安全测试框架。 drozer允许您通过承担应用程序的角色并与...
  • 前段时间因为公事的原因接触了app的测试,踩了一堆坑, 浪费了太多时间,所以想po一篇文章出来,让后面做app测试的朋友少走点弯路。废话不多说,直接开始。 所需软件 安卓手机模拟器:夜神模拟器(自带安卓5,安卓...
  • 网络安全进阶篇(十一章-5)APP渗透测试篇(上)

    千次阅读 热门讨论 2020-08-02 19:03:35
    一、App渗透测试原理 1.简介 App渗透测试与Web渗透测试从某种角度说基本没有区别 App其实就是手机软件,咱们不需要害怕他。 说一个简单的道理,一个网站存在sql注入,用电脑访问存在,用...
  • Android APP渗透测试(2)-Objection

    万次阅读 2020-05-26 11:14:03
    同样我们可以列出内存中所有的方法: android hooking search methods chrome 但是需要花费的时间比较长: 列出类的所有方法 我们还可以列出一个类中的所有方法: android hooking list class_methods ...
  • 移动APP渗透测试方案 展示5个方面总结3种常见漏洞 发布时间:2017年10月26日 10:47 浏览量:1193  绿盟科技这几天连出渗透测试文章,真是干货啊。之前安全加介绍了金融行业 实战微信银行渗透测试, 运营商...
  • 客户网站以及APP进行安全检测的同时,我们SINE安全验证码功能方面存在的安全问题,以及验证码漏洞检测有着十多年的经验,在整个APP,网站的安全方面,验证码又分2种,第一个是登陆的身份验证码,再一个重要...
  • 事情起因,黑B产C想到我的学员QQ群里发布黑B产C广告,欺骗学员的钱,这我能忍?立马安排上! 这是不给我laoh面子? 公然黑产。必须严惩 于是我用小号加了他的QQ,以买数据为由获得了app 那么,开始吧...
  • QQ 1274510382 Wechat JNZ_aming 商业互捧 QQ群538250800 技术搞事 QQ群599020441 技术合作 QQ群152889761 加入我们 QQ群649347320 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。...
  • APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全...
  • 作者:Vulkey_Chen 前言 本文总结一下漫长的渗透测试过程,想尽了各种方法,终于找到了...要做渗透的目标是一个APP,根据抓到的请求包发现这个APP是经过产品加固过的,所以HTTP的POST请求正文部分(Data)是神奇的...
  • 一、快速自建一个App 1.App难写吗? (1) ~问:我不懂Java我能写App吗? 答:我觉得大部分人都觉得自己不能。 ~问:你还记得CMS吗? 你会CMS里面的全部代码吗? 答:你也不会,但是...
  • 渗透之一

    2019-08-11 17:27:35
    0x00 关于lcx的介绍 lcx是一款内网的端口转发工具,他主要有三个参数: a) -listen:本地监听与端口转发。 b) -slave:远程端口转发 c) -tran:本地端口转发。Lcx -tran 3389 33899 即将本地的3389端口转发到本地...
  • 2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据上半年的安全检测以及漏洞测试分析发现,目前移动APP软件漏洞的...
  • 作者:whoamiecho 来源:ichunqiu 本文参加i春秋社区原创文章奖励计划,未经许可禁止转载!...APP一来就要登陆,遇到这种情况只能先抓个登陆的包看看是个什么情况,登陆时抓取数据包如下: 发现验证码是...
  • 最近偶然发现一个虚拟...s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=@file_put_contents(base64_decode(MTIzNDUucGhw),base64_decode(MMTI8P3BocCBldmF
  • 手机app逆向基础工具介绍1、夜神模拟器2、Androidkiller3、burpsuite 本文介绍了三款手机软件逆向工具: 模拟器:夜神模拟器 apk编辑器:Androidkiller 代理抓包器:burpsuite 1、夜神模拟器 夜神模拟器是一款可以在...
  • 于是开始该站进行渗透,毕竟心心念的小姐姐还在里面。 翻到网站最底部,硕大的wordpress映入眼帘,wp站没跑了 首先wpsacn扫一波: Wordpress最新版本,也没装什么值得利用的插件,主题的代码审计小菜鸡我也审不...
  • RP请求OP用户身份进行登录检查,OP用户登录检查,如果用户还没有登录,请求用户进行登录认证; 用户登录OP、登录完检测RP请求哪些信息,如果没有需有用补填(OpenID主要负责认真,用户首次登陆注册可能还需要...
  • 对某菠菜网站的一次渗透测试

    千次阅读 热门讨论 2018-12-28 11:28:41
    s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami iis权限 但是可以执行部分命令,比如echo dir等等。 0x02 尝试突破拿shell 既然可以执行echo 那么...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,694
精华内容 1,477
关键字:

对某app渗透