第一次开始接触渗透测试

前言：

本文作者接到某授权渗透测试任务，需要以某app做为入口，对app后端服务器的安全性进行测试。

阶段一：IOS 越狱

在得到相应授权并下载指定的 app 后，我们发现该 app 的签名存在问题，因为我使用的测试机无法安装上面的 app ，此处我使用的测试机环境为 iphone6 ios 12.4.4 ，该版本的操作系统无法通过常用的漏洞越狱，并且在利用 itunes 给 ios downgrade 时也遇到了很奇怪的问题。综合考量之后，我们利用iboot 的洞来进行 jailbreak ，用到的工具是 checkrain ，目前 checkrain 已经集成到了爱思助手中，使用较为方便。

在使用 checkrain jailbreak 时，需要将 iphone 切换到 DFU 模式。DFU 模式和普通 recovery 模式不同，刚开始的时候，在这里踩了很多坑，具体的切换方式可以 google 得到，这里不再详细展开。

checkrain 的运行结果如下。
刷新连接后，我们可以看到 iphone 已经完成了越狱：

checkrain 执行成功后会在 ios 系统上安装一个名为 checkrain 的 app，这个 app 是 cydia 的 loader，我们可以通过其下载 cydia 。通过 cydia 我们可以扩展 iphone 的安装源，也可以安装各类软件。cydia的服务器位于国外，国内安装时速度奇慢，需要等待一段时间。

在 cydia 中，导入一个名为 cydia.akemi.ai 的源（日本宅男搞出来的东西：P），同步后，安装名为AppSync 的插件，这个插件可以帮我们在 iphone 上安装任意的 app 。

最终，成功安装 app 。

阶段二 ： IOS 抓包

接下来使用 ios

系统自带的网络代理设置，并将流量重定向到我们在同一个局域网中开放的 burpsuite中。如下图所示：

启动 app 后抓到如下的报文：

http://test.example.com/show_url
{
“info”: 0,
“url”: “http://test2.example.com,
“bt”: “test”,
}

该app对应的后端网站为 http://test2.example.com，经过简单的探测，发现网站的后端使用的是 thinkphp5框架，但遗憾的是，该网站已经修复了 thinkphp5 rce 的漏洞。

阶段三：后台日志信息泄露与CSRF

通过对该 app 发送的数据包进行审计，发现了后台的域名：http://admin.example.com。通过对路径完成爆破以后，发现后台登录地址：http://admin.example.com/houtai/login。