apk和小程序渗透测试

已于 2024-07-01 09:29:44 修改
阅读量564 收藏 1
点赞数 1
分类专栏: 渗透测试 网络安全 文章标签: 小程序
于 2023-10-16 22:42:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_56578216/article/details/133871925
版权
本文详细介绍了如何进行apk代码审计和渗透测试,包括使用特定工具解包、代码审计,寻找HTTPs和API接口。此外,还讲解了对apk进行渗透的方法,涉及证书转换和数据包抓取。最后,探讨了小程序的默认下载位置和反编译工具,为小程序的安全测试提供了步骤指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

  • apk代码审计
  • apk渗透
  • 小程序

apk代码审计

将测试用的exe文件放到目录下:
在这里插入图片描述

使用下面命令进行扫描:

wxapkg_1.5.0_windows_amd64.exe scan

然后选择要进行渗透的apk,以峰友学堂为例,回车后进行解包:

在这里插入图片描述

如图,解包成功,出现很多资源:

在这里插入图片描述

目录下出现解包后的文件夹:

在这里插入图片描述

接下来使用微信开发者工具进行代码审计,导入4文件夹

了解本专栏 订阅专栏 解锁全文 超级会员免费看
【APP渗透测试】Android APK常用测试工具(Drozer)安装及使用方法介绍
李火火的安全圈
03-22 1748
Drozer 是 MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道: Drozer允许你一个普通Android应用的身份与其他应用操作系统交互。在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。使用Drozer进行安全测试,用户在自己的工作站上输入命令,Drozer会将命令发送到Android设备上的代理程序执行。
白帽子Android渗透测试指南
AI天才研究院
08-06 1347
随着智能手机的普及移动互联网的快速发展,Android系统作为全球市场占有率最高的移动操作系统,其安全性越来越受到人们的重视。与此同时,针对Android系统的恶意软件攻击手段也层出不穷,给用户的信息安全隐私保护带来了极大的威胁。为了帮助广大开发者安全爱好者更好地了解Android系统的安全机制,掌握Android渗透测试的基本方法技巧,本文将从白帽子的角度出发,详细介绍Android渗透测试的流程、技术工具,并结合实际案例进行分析讲解。
apk小程序渗透
weixin_58954236的博客
10-17 1407
小程序通信几乎百分百是使用https,只要抓到包,就可以进行渗透测试;删除cookie后相应的内容还是一摸一样,那么说明这个请求点有问题很可能存在越权漏洞;可以使用小程序的反编译工具,编译出小程序的源代码进行代码审计,获取里面的url地址尝试访问抓包;查找api,info等具有特殊含义的变量或函数(方法),通过这些特殊字符可以发现小程序的一些未授权、敏感信息泄露等信息安卓高版本不信任https的证书了,在给小程序安装证书,证书需要进行编译。
小程序代理抓包+反编译+动态调试
最新发布
m0_72199724的博客
05-10 856
Proxifier是一款功能强大的网络代理工具,它可以让你将网络应用程序通过代理服务器进行连接。它提供了一个简单而灵活的方式,让你能够将任何应用程序的网络流量路由到指定的代理服务器上,从而实现匿名浏览、绕过网络封锁、访问受限网站等功能。Proxifier 的工作原理是通过修改操作系统的网络设置,将应用程序的网络连接引导到代理服务器上。它支持多种代理协议,包括HTTP、HTTPS、SOCKS v4SOCKS v5,可以与各种代理服务器兼容。
APP小程序渗透测试
山兔的博客
02-06 450
在电脑开一个模拟器,bp监听模拟器里面的数据包,在模拟器里面运行我们的app,接下来的就跟web渗透一样了。
小程序渗透测试的两种方法——burpsuite、yakit
weixin_45802999的博客
07-05 3334
5、随便打开一个微信小程序抓包测试,成功抓包(在测试的时候只测试一个小程序的时候就把小程序平台关掉,只留需要测试的小程序,这样可以精简抓到的包)。如下图配置,命名可以为小程序,Applications内容填写小程序使用时对应的exe,Action使用刚才创建的代理服务器。4、打开bp,在bp设置代理监听处添加刚才使用的监听端口(我刚才使用的是8088端口)3、打开小程序抓包试试,成功抓包,yakit还有很多功能,自己可以去玩一下。2、在MITM 交互式劫持中,设置监听地址端口,劫持启动。
微信小程序渗透测试
weixin_41308444的博客
10-14 3847
微信小程序渗透测试
初探微信小程序渗透测试
热门推荐
chenfeng857的博客
03-18 1万+
初探微信小程序渗透测试
小程序渗透测试-前端打包调试解密
god_Zeo的安全博客
08-31 1035
0x01 用到的环境 node环境 wxappUnpacker 微信开发者工具 网易mumu模拟器(Android6版本) mt管理器(模拟器中的文件管理工具) 0x02 编译阶段 首先找到小程序的安装包,可以找个手机,点开小程序后,找到手机文件目录, 一般是这样的目录。 /data/data/com.tencent.mm/MicromMsg/c6dxxxxxxxxxxxxx/appbrand/pkg/*.wxapkg 注:此时必须root mt管理器 然后自己想办法现在把这些包从手机里导出来(
记一次授权的APK渗透测试
wulanlin的博客
01-04 3052
作为一个渗透测试小白,本文的目的是希望能为那些我一样的小白提供一些测试思路。 涉及的内容可能比较基础,表哥们见谅。 APK 解包 拿到 apk 之后直接用 7-Zip 解压可以得到几个文件夹、一个 AndroidManifest.xml 文件、一个dex文件。使用 dex2jar将这个dex文件解压会生成一个jar文件,然后使用jd-gui就可以查看java源代码了。 当然可以从源码里找代码的漏洞,但是一般会有混淆,在这也不做深入讨论。 上边提到的 xml 文件一定不能发放过,里边涉及到许多重.
微信小程序客户端渗透测试
03-14
小程序2017年面世以来,微信小程序以其相较于APP的进入门槛更低,开发周期更短,费用更低的优势,已经构造了新的微信小程序开发环境开发者生态。 当前,微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。 但随着小程序生态的建立,其特有的安全风险也逐步显示出来:因为小程序本质也是网页交互,其通讯更容易被破解。 我们将从客户端服务器两个层面学习微信小程序渗透测试。 客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。 在服务端层面,主要是依据微信小程序的特性,模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试,这个其实与常规的web安全测试类似。 本此主要是对客户端测试的总结,包括操作流程,所需解密工具反编译工具
apk渗透测试方法-基础.pdf
05-20
apk渗透测试方法-基础.pdf
实战|微信小程序渗透测试
Python_0011的博客
04-26 3565
4、再次打开/data/data/com.tencent.mm/MicroMsg/目录,会发现一个加密文件名的文件夹,再打开/appbrand/pkg/目录下存放着刚才访问这个小程序的三个数据,其中一个为主包其余两个为分包。1、配置Burp模拟器(模拟器需导入ca证书),打开模拟器的WLAN–>高级设置–>输入物理机的ip以及一个没被占用的端口,Burp用于代理该端口,我使用的模拟器安卓版本为5.0。5、利用获取到的studentID又可对学生的水卡进行绑定,绑定后可对学生的水卡进行充值、挂失等操作。
APP渗透
weixin_44839866的博客
08-27 956
目录 一、客户端静态安全 1、apktool:打包/解包工具 2、jarsigner:签名工具 3、Apk上上签 4、dex2jar 5、AllowBackup备份权限配置安全性 二、客户端数据安全 1、本地文件权限配置 2、本地文件内容安全 3、本地日志内容安全 三、客户端运行安全 四、安全策略 五、通信安全 一、客户端静态安全 1、apktool:打包/解包工具 解包:java -jar apktool d -f xxx.apk 打包:java -jar apktool
fiddler——渗透测试app与小程序
weixin_51387754的博客
07-29 597
下安装fiddler5中文版 点击exe文件,如若提示更新点否
【自用分享】微信小程序渗透常用工具指北
Liyu_6618的博客
01-24 1025
MacOS抓包规则:“WeChatAppEx Helper.app”;自动化反编译微信小程序小程序安全评估工具,发现小程序安全问题,自动解密,解包,可还原工程目录,支持Hook,小程序修改。配置好wx-file目录即可开始自动执行,这里Windows首推这个工具,可以自动化反编译以及敏感信息查找(爱不释手)Windows&Mac通用,但是需要指定微信版本,尽量少用或者用小号,不然有封号风险。最近群里的师傅问的挺多的,关于小程序渗透相关的,故做一片自用整理。抓包分析->正常Web一样测试。
【微信小程序渗透测试】微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 1万+
一般我们会看js文件json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试的小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

EMT00923

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值