安卓應用程序滲透測試（二）

新聞 09-20

在上一篇文章中(安卓應用程序滲透測試一)，我們講解了安卓設備的基本架構。本篇文章，我們來講解一些安卓應用滲透測試工具並且為正式攻擊進行一些基礎設置。

安卓滲透測試工具有很多，但每個工具各有所長，哪些工具有什麼功能，能實現什麼目的，我們能從中提取什麼細節才是最重要的。

我們也可以使用一些框架中內置的工具集，下面這些框架都是開源的：Appuse,Appie,Santoku,Pentestbox,MobSF等等。

先從APPuse開始

APPuse是由AppSec Labs開發的VM虛擬機。它是安卓環境中移動應用安全測試的獨特平台，包括AppSec Labs開發的獨家定製工具。APPuse專業版官網地址在這裡，https://appsec-labs.com/appuse-pro/，免費版本就夠用了。

APPuse dashboard(主界面)如下：

模擬器

模擬器是內置在APPuse框架中的，或者我們也可以添加外部的已經root過的移動設備進行測試。啟動模擬器可以提供一個虛擬設備。

Root設備:它將使用superuser.apk文件來對模擬器設備進行root並獲取sudo許可權。

打開ADB shell：這會打開一個ADB shell。(ADB的意思是安卓調試橋，它是一個命令行窗口，用於通過電腦端與模擬器或者真實設備交互)。如果你不想使用模擬器，可以將移動設備連接到App中使用。

第一步：在移動設備上啟用USB調試模式並且連接到機器。

第二部：adb設備會顯示已經連接的設備。

安卓應用滲透測試工具

在很多滲透測試案例中都大有幫助的基礎工具，框架中都已經提供了，你只需要點擊工具就行，如圖：

·Burp Suite：Burp Suite是web安全測試中的瑞士軍刀，堪稱神器。它是一個代理工具，可以攔截客戶端和伺服器端的請求。

·Wireshark：這是一款網路流量捕獲工具，可以清楚的顯示網路上的數據包。

·IDA：IDA是Windows，Linux或Mac操作系統下的多處理器反彙編工具和調試器。

·Eclipse：Eclipse為幾乎所有語言和體系結構提供IDE環境和平台。

·NetBeans：使用Java，JavaScript，HTML5，PHP，C / C ++等開發桌面，移動和Web應用程序，源代碼免費開源。

·Firefox：黑客瀏覽器。

·SQLite瀏覽器：用於查看資料庫文件。

·Nmap：網路掃描器，可以掃埠和漏洞，也是開源的，我們可以安裝使用。

.apk文件的逆向

對於逆向來說，很多滲透測試工具也已經集成在APPuse里了，工具如圖：

如果要載入已安裝在設備/模擬器中的.apk文件，請單擊載入APK 。你也可以從本地選擇.apk文件，當然你也可以從Google商店中選擇文件。

我們主要是要解碼一個APK文件，我們需要運行apktool d filename.apk命令。運行之後，它會在當前目錄下創建一個文件夾，其中包含反編譯文件。或者也可以用另一種方式，在App中，使用它與dashboard(主界面)全部鏈接起來，dashboard我們可以直接利用。

APK的概念

apk文件是一個zip壓縮文件。zip文件包含XML文件和其他安卓應用源文件。Apktools工具對源文件進行解碼並且將安卓位元組碼轉換成彙編級別的小文件。Dex2jar工具將dex文件轉換為存檔在jar文件中的Java位元組碼文件。JD-GUI和Luyten工具將Java位元組碼反編譯成Java源代碼文件。

安裝或選擇.apk文件後，我們可以通過點擊View Manifest來查看安卓清單文件。

Dalvik虛擬機不使用Java位元組碼，使用的是它自己的文件格式dex(Dalvik Executable Format)。它包含多個類和相關數據的定義。

Smali/Baksmali分別是dex文件格式的重編譯和反編譯程序。

保存Java源—dex2jar工具將.dex文件解碼成.jar文件。

JD-GUI是一個圖形實用工具，可以顯示」.class」文件的Java源代碼。

Drozer工具

這個工具並沒有內置在APPuse中，你可以通過下面鏈接中的指南來安裝。

https://labs.mwrinfosecurity.com/assets/BlogFiles/mwri-drozer-user-guide-2015-03-23.pdf