Com o meu último artigo ( Android Application Penetration testing Part 1 ), tínhamos a visão sobre a arquitetura básica do dispositivo Android. Agora vamos coletar algumas ferramentas do Android Application Pentesting e criar uma configuração para hackear:
Existem muitas ferramentas para um teste de penetração de aplicativos para Android, mas quais ferramentas são usadas para qual finalidade e quais os detalhes que podemos extrair dele é o mais importante.
Também podemos usar o conjunto de todas as ferramentas criadas em algum framework. Todos eles estão disponíveis como fonte aberta
Appuse, Appie, Santoku, Pentestbox, MobSF etc.
Vamos começar com Appuse
O AppUse é uma VM (Máquina Virtual) desenvolvida pela AppSec Labs. É uma plataforma única para testes de segurança de aplicativos móveis no ambiente Android e inclui ferramentas personalizadas exclusivas criadas pela AppSec Labs. A versão gratuita é suficiente
https://appsec-labs.com/appuse-pro/ Appuse dashboard-
Emulador
É construído no framework Appuse ou o dispositivo móvel externo rooteado pode ser anexado e testado. O emulador de lançamento lhe dará um dispositivo virtual.
Dispositivo de raiz : ele será o dispositivo de emulador de raiz e dará o acesso de sudo usando o superusuário.apk
Abra o shell ADB : ele abrirá shell ADB
O dispositivo móvel pode ser conectado ao uso da aplicação se você não quiser usar o emulador
Passo 1 : no dispositivo móvel, habilite a depuração USB e conecte-se à máquina
Passo 2 : os dispositivos adb mostrarão dispositivos conectados
Android Application Pentesting Tools:
Algumas ferramentas básicas para pentesting que serão úteis em muitos casos de teste já estão lá para você. Você só precisa clicar na ferramenta
- Burp Suite Burp Suite é o principal software para testes de segurança na web. É uma ferramenta de proxy que ajudará a interceptar o pedido entre cliente e servidor.
- Wireshark É uma ferramenta de captura de tráfego de rede que dará uma imagem clara em pacotes na rede.
- IDA - IDA é um desmontagem e depurador multi-processador hospedado, Windows, Linux ou Mac OS X
- Eclipse - Eclipse fornece IDEs e plataformas para quase todos os idiomas e arquitetura
- NetBeans - É um recurso gratuito para desenvolver aplicações desktop, móveis e web. Com Java, JavaScript, HTML5, PHP, C / C ++ etc.
- Navegador Firefox - porque seu navegador de hackers
- Navegador SQLite - Ele usa para ver arquivos de banco de dados
- Nmap - scanner de rede, podemos instalá-lo, pois é uma fonte aberta
Inverter o arquivo .apk
Para engenharia reversa e muitas ferramentas Pentest já foram criadas no uso da aplicação.
Ferramentas :
Clique em carregar APK se você quiser carregar o arquivo .apk que já está instalado no dispositivo / emulador. Caso contrário, você pode selecionar o arquivo .apk do Local ou seja, da máquina base. A opção Google Play também está disponível.
- Principalmente estaremos decodificando um arquivo APK para que precisemos executar o apktool d filename.apk. Depois de executá-lo, ele criará uma pasta no mesmo diretório com arquivos descompilados nele. Ou de outra forma, no aplicativo, use tudo conectado com o painel que podemos usar diretamente.
Conceito
O arquivo Apk é um arquivo zip. O arquivo Zip consiste em XML e outros recursos de aplicativos para Android. Apktools decodifica os arquivos de recurso e converte o bytecode Android em arquivos pequenos de nível de montagem. Dex2jar converte os arquivos dex no arquivo de bytecode java arquivado dentro do arquivo jar. JD GUI e Luyten decompilam o código de byte java para o arquivo de código-fonte java.
- Depois de instalar ou selecionar o arquivo .apk, podemos visualizar o arquivo de manifesto do android clicando em Manifestar de exibição .
Dalvik Virtual Machine não usa bytecode java. Em vez disso, ele usa seu próprio formato de arquivo chamado dex (Dalvik Executable Format). Ele contém a definição de várias classes e dados relativos.
- Smali / Baksmali é reassembler / disassembler para o formato de arquivo dex, respectivamente.
- Salvar fontes java - A ferramenta dex2jar é usada para decodificar o arquivo .dex para um arquivo .jar
- O JD-GUI é um utilitário gráfico autônomo que exibe códigos-fonte Java de arquivos ".class" .
Drozer
Não está no uso incorporado do aplicativo que você pode instalar com orientação do link abaixo
O Drozer permite assumir a função de um aplicativo Android e interagir com outros aplicativos. Pode fazer tudo o que um aplicativo instalado pode fazer, como fazer uso do mecanismo de comunicação entre processos (IPC) do Android e interagir com o sistema operacional subjacente.
Nenhum comentário:
Postar um comentário