安卓安全
关注
分享
扫一扫
devi1.
记点有用的
展开
-
攻防世界第三道题 easy-apk
⾸先我们使⽤⽼套路,⽤jeb或者dex2jar反编译后⽤jd-gui打开a,并且查看java源码,找到主类:很明显又是⽐较字符串,将输⼊的字符串进⾏base64加密之后与“5rFf7E2K6rqN7Hpiyush7E6S5fJg6rsi5NBf6NGT5rs=”进⾏⽐较!所以我们需要对这个字符串进⾏base64解密,但是我们去解密会发现错误:...原创 2019-10-22 18:39:58 · 4729 阅读 · 0 评论 -
攻防世界mobile新手入门第一题 app1
最重要的一步:下载app,安装然后认真的去运行:随意输入会收到提示“再接再厉,加油~”,不输入的话提示“年轻人不要耍小聪明噢”。除了被调戏没有可获取信息的了,所以只能靠逆向扒了她: 使用(1)jeb直接打开apk或者 (2)dex2jar反编译apk,使用jd-gui打开jar文件,搜索上述提到的关键字:可以看到主要逻辑了,我们要闯关成功,所以要做到下面这个条件才可以: ...原创 2019-10-22 13:35:10 · 1868 阅读 · 0 评论 -
drozer工具安装
Drozer是MWRLabs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。...原创 2018-07-09 17:15:36 · 1354 阅读 · 0 评论 -
几条命令用drozer挖漏洞(0基础)
之前介绍过怎么安装drozer(drozer工具安装),本次主要面对于没有基础的新手,怎么用几条命令挖简单的组件漏洞(大部分为中危),经初次工具的使用练习,比较好挖的漏洞主要有,allowback(数据备份与恢复)、本地拒绝服务、本地sql注入。附个最近挖的部分垃圾洞:1.磨枪上阵!第一步:adb连接手机或者模拟器(看你心情爱用哪个用哪个)(1)我的三星s8+需要打开usb调试,然后连...原创 2019-04-29 10:30:00 · 1723 阅读 · 0 评论 -
用drozer批量挖拒绝服务等安卓中低危漏洞
drozer可以检测出安卓暴露的四大组件,一个个尝试是否存在越权、拒绝服务等太麻烦,又耗时间。所以一般机械式的重复性工作我们都可以利用工具来帮我们实现:1.drozer工具的使用https://blog.youkuaiyun.com/sun8890446/article/details/89668515可以参考这个怎么手工,和基本的使用。2.drozer批量检测拒绝服务添加drozer...原创 2019-05-05 11:27:42 · 1498 阅读 · 0 评论