Android Applications Pentesting

黑客见解 参与深入探讨黑客的刺激和挑战的内容

实时黑客新闻 通过实时新闻和见解及时了解快节奏的黑客世界

最新公告 了解最新的赏金计划发布和重要平台更新

Android 应用程序基础知识

强烈建议阅读此页面，了解与 Android 安全相关的最重要部分以及 Android 应用程序中最危险的组件：

ADB（Android 调试桥）

这是您连接到 Android 设备（模拟或实体）所需的主要工具。 ADB 允许从计算机控制设备，可以通过USB或网络连接。此实用程序使文件双向复制、应用程序安装和卸载、执行 shell 命令、备份数据、读取日志等功能成为可能。

Smali

其他有趣的技巧

• 从设备中提取 APK：

adb shell pm list packages
com.android.insecurebankv2

adb shell pm path com.android.insecurebankv2
package:/data/app/com.android.insecurebankv2-Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

adb pull /data/app/com.android.insecurebankv2- Jnf8pNgwy3QA_U5f-n_4jQ==/base.apk

静态分析

寻找有趣的信息

仅仅查看APK的字符串，你就可以搜索密码，URLs，API密钥，加密，蓝牙UUIDs，令牌以及任何有趣的内容... 甚至查找代码执行后门或身份验证后门（应用中硬编码的管理员凭据）。

Firebase

对应用程序的基本理解 - Manifest.xml，strings.xml

对应用程序的_Manifest.xml和strings.xml_文件的检查可以揭示潜在的安全漏洞。可以使用反编译器访问这些文件，或者将APK文件扩展名更改为.zip，然后解压缩它。

从Manifest.xml中识别的漏洞包括：

• 可调试应用程序：在_Manifest.xml_文件中设置为可调试（debuggable="true"）的应用程序存在风险，因为它们允许可能导致利用的连接。要进一步了解如何利用可调试应用程序，请参考有关在设备上查找和利用可调试应用程序的教程。

• 备份设置：对于处理敏感信息的应用程序，应明确设置android:allowBackup="false"属性，以防止通过adb进行未经授权的数据备份，特别是当启用USB调试时。

• 网络安全：在_res/xml/_中自定义网络安全配置（android:networkSecurityConfig="@xml/network_security_config"）可以指定安全详细信息，如证书固定和HTTP流量设置。一个示例是允许特定域的HTTP流量。

• 导出的活动和服务：在清单中识别导出的活动和服务可以突出显示可能被误用的组件。在动态测试期间进一步分析可以揭示如何利用这些组件。

• 内容提供程序和文件提供程序：公开的内容提供程序可能允许未经授权访问或修改数据。还应仔细审查文件提供程序的配置。

• 广播接收器和URL方案：这些组件可能被利用进行攻击，特别要注意URL方案的管理方式，以防止输入漏洞。

• SDK版本：minSdkVersion，targetSDKVersion和maxSdkVersion属性指示支持的Android版本，强调不支持过时、易受攻击的Android版本的重要性。

从strings.xml文件中，可以发现诸如API密钥、自定义模式和其他开发者注释等敏感信息，强调需要仔细审查这些资源。

Tapjacking

Tapjacking是一种攻击，其中启动一个恶意应用程序，并将其定位在受害者应用程序的顶部。一旦它明显遮挡了受害者应用程序，其用户界面被设计成以一种方式欺骗用户与其交互，同时将交互传递给受害者应用程序。 实际上，它使用户无法知道他们实际上是在受害者应用程序上执行操作。

在以下找到更多信息：

任务劫持

launchMode设置为singleTask且未定义任何taskAffinity的活动容易受到任务劫持的影响。这意味着，如果安装了一个应用程序，并且在真正的应用程序之前启动了它，它可能会劫持真正应用程序的任务（因此用户将与恶意应用程序交互，以为自己在使用真正的应用程序）。

在以下找到更多信息：

不安全的数据存储

内部存储

在Android中，存储在内部存储中的文件专门设计为仅由创建它们的应用程序访问。这一安全措施由Android操作系统强制执行，通常足以满足大多数应用程序的安全需求。然而，开发人员有时会使用MODE_WORLD_READABLE和MODE_WORLD_WRITABLE等模式，以允许文件在不同应用程序之间共享。然而，这些模式不限制其他应用程序（包括潜在恶意应用程序）访问这些文件。

1. 静态分析：

• 确保仔细审查对MODE_WORLD_READABLE和MODE_WORLD_WRITABLE的使用。这些模式可能会使文件暴露给意外或未经授权的访问。

1. 动态分析：

• 验证应用程序创建的文件设置的权限。特别是，检查是否有任何文件设置为全球可读或可写。这可能构成重大安全风险，因为它将允许设备上安装的任何应用程序读取或修改这些文件，而不考虑其来源或意图。

外部存储

处理外部存储上的文件时，应采取一些预防措施：

1. 可访问性：

• 外部存储上的文件是全局可读和可写的。这意味着任何应用程序或用户都可以访问这些文件。

1. 安全问题：

• 鉴于访问的便利性，建议不要在外部存储上存储敏感信息。

• 外部存储可以被移除或任何应用程序访问，使其不太安全。

1. 处理来自外部存储的数据：

• 始终对从外部存储检索的数据执行输入验证。这是至关重要的，因为数据来自不受信任的来源。

• 强烈建议不要在外部存储上存储可执行文件或类文件以进行动态加载。

• 如果您的应用程序必须从外部存储检索可执行文件，请确保在这些文件被动态加载之前进行签名和加密验证。这一步对于维护应用程序的安全完整性至关重要。

外部存储可以在/storage/emulated/0，/sdcard，/mnt/sdcard中访问。

明文存储的敏感数据

• 共享首选项：Android允许每个应用程序轻松保存xml文件在路径/data/data/<packagename>/shared_prefs/中，有时可能在该文件夹中找到明文的敏感信息。

• 数据库：Android允许每个应用程序轻松保存sqlite数据库在路径/data/data/<packagename>/databases/中，有时可能在该文件夹中找到明文的敏感信息。

SSLSocketFactory sf = new cc(trustStore);
sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

破解加密

密钥管理流程不佳

一些开发人员会将敏感数据保存在本地存储中，并使用在代码中硬编码/可预测的密钥进行加密。这样做是不应该的，因为一些逆向工程可能会使攻击者提取机密信息。

使用不安全和/或已弃用的算法

开发人员不应该使用已弃用的算法来执行授权检查，存储或发送数据。一些这些算法包括：RC4、MD4、MD5、SHA1...例如，如果要使用哈希来存储密码，应该使用具有盐的哈希抗暴力破解。

其他检查

• 建议对APK进行混淆，以增加逆向工程的难度。

• 如果应用程序很敏感（如银行应用），应该执行自己的检查以查看手机是否已获取root权限，并相应地采取行动。

• 如果应用程序很敏感（如银行应用），应该检查是否正在使用模拟器。

• 如果应用程序很敏感（如银行应用），应该在执行之前检查自身的完整性，以查看是否已被修改。

React Native 应用程序

阅读以下页面，了解如何轻松访问React应用程序的JavaScript代码：

Xamarin 应用程序

阅读以下页面，了解如何轻松访问Xamarin应用程序的C#代码：

超级打包应用程序

自动化静态代码分析

有了这些知识，mariana-trench将审查代码并找出可能存在的漏洞。

泄露的机密信息

绕过生物识别身份验证

其他有趣的功能

• 代码执行：Runtime.exec(), ProcessBuilder(), native code:system()

• 发送短信：sendTextMessage, sendMultipartTestMessage

• 声明为native的本机函数：public native, System.loadLibrary, System.load

其他技巧

黑客见解 参与深入探讨黑客活动的刺激和挑战

实时黑客新闻 通过实时新闻和见解及时了解快节奏的黑客世界

最新公告 随时了解最新的赏金任务发布和重要平台更新

动态分析

首先，您需要一个环境，可以在其中安装应用程序和所有环境（主要是Burp CA证书、Drozer和Frida）。因此，极力推荐使用已获取root权限的设备（模拟器或非模拟器）。

在线动态分析

您甚至可以在网络中查看应用程序的日志，并通过adb进行连接。

通过ADB连接，您可以在模拟器中使用Drozer和Frida。

本地动态分析

使用模拟器

• 了解如何在此页面中设置：

要在Genymotion中安装谷歌服务（如应用商店），您需要单击以下图像中标记为红色的按钮：

此外，请注意，在Genymotion中的Android VM配置中，您可以选择桥接网络模式（如果您将从具有工具的不同VM连接到Android VM，这将很有用）。

使用物理设备

您需要激活调试选项，如果可以root它会更好：

1. 设置。

2. (从Android 8.0开始) 选择系统。

3. 选择关于手机。

4. 连续点击版本号 7次。

5. 返回，您将找到开发者选项。

安装应用程序后，首先要做的事情是尝试并调查其功能，了解其工作原理，并熟悉它。 我建议使用MobSF动态分析 + pidcat进行初始动态分析，这样我们就能在MobSF捕获大量有趣的数据的同时学习应用程序的工作方式，稍后可以查看这些数据。

非预期数据泄漏

日志记录

复制/粘贴缓存

Android的基于剪贴板的框架使应用程序能够实现复制粘贴功能，但存在风险，因为其他应用程序可以访问剪贴板，可能会暴露敏感数据。对于应用程序的敏感部分（如信用卡详细信息），禁用复制/粘贴功能至关重要，以防止数据泄漏。

崩溃日志

如果应用程序崩溃并保存日志，这些日志可以帮助攻击者，特别是当无法对应用程序进行逆向工程时。为降低此风险，请避免在崩溃时记录日志，如果必须通过网络传输日志，请确保通过SSL通道发送以确保安全性。

作为渗透测试人员，尝试查看这些日志。

发送给第三方的分析数据

应用程序通常集成诸如Google Adsense之类的服务，由于开发人员实施不当，可能会意外泄漏敏感数据。为了识别潜在的数据泄漏，建议拦截应用程序的流量，检查是否向第三方服务发送了任何敏感信息。

SQLite数据库

大多数应用程序将使用内部SQLite数据库保存信息。在渗透测试期间，查看创建的数据库、表和列的名称以及所有保存的数据，因为您可能会发现敏感信息（这可能是一个漏洞）。 数据库应位于/data/data/the.package.name/databases，如/data/data/com.mwr.example.sieve/databases

如果数据库保存了机密信息且已加密，但您可以在应用程序内找到密码，这仍然是一个漏洞。

使用.tables列出表并使用.schema <table_name>列出表的列。

Drozer（利用活动、内容提供程序和服务）

利用导出的活动

授权绕过

当活动被导出时，您可以从外部应用程序调用其屏幕。因此，如果具有敏感信息的活动被导出，您可以绕过****身份验证机制访问它。

您还可以从adb启动导出的活动：

• PackageName为com.example.demo

• 导出的ActivityName为com.example.test.MainActivity

adb shell am start -n com.example.demo/com.example.test.MainActivity

敏感信息泄露

活动也可以返回结果。如果您找到一个已导出且未受保护的活动调用了 setResult 方法并返回敏感信息，那就存在敏感信息泄露。

点击劫持

利用内容提供程序 - 访问和操纵敏感信息

利用服务

利用广播接收器

利用方案 / 深层链接

adb shell am start -a android.intent.action.VIEW -d "scheme://hostname/path?param=value" [your.package.name]

请注意，您可以省略包名称，手机将自动调用应该打开该链接的应用程序。

<!-- Browser regular link -->
<a href="scheme://hostname/path?param=value">Click me</a>
<!-- fallback in your url you could try the intent url -->
<a href="intent://hostname#Intent;scheme=scheme;package=your.package.name;S.browser_fallback_url=http%3A%2F%2Fwww.example.com;end">with alternative</a>

执行的代码

要找到在应用中执行的代码，请转到由深度链接调用的活动，并搜索名为**onNewIntent**的函数。

敏感信息

每次找到一个深度链接，请检查它是否通过URL参数接收敏感数据（如密码），因为任何其他应用程序都可以冒充深度链接并窃取这些数据！

路径中的参数

更多示例

传输层检查和验证失败

• Android 应用程序通常未正确检查证书。这些应用程序通常忽略警告并接受自签名证书，或在某些情况下回退到使用HTTP连接。

• SSL/TLS 握手期间的协商有时很薄弱，使用不安全的密码套件。这种漏洞使连接容易受到中间人（MITM）攻击的影响，允许攻击者解密数据。

• 当应用程序使用安全通道进行身份验证，然后在其他交易中使用非安全通道进行通信时，可能会发生私人信息泄霏的风险。这种方法未能保护敏感数据，如会话 cookie 或用户详细信息，免受恶意实体的拦截。

证书验证

SSL Pinning

SSL Pinning 是一种安全措施，应用程序会将服务器的证书与应用程序内存储的已知副本进行验证。这种方法对于防止 MITM 攻击至关重要。强烈建议处理敏感信息的应用程序实施 SSL Pinning。

流量检查

绕过 SSL Pinning

当实施 SSL Pinning 时，为了检查 HTTPS 流量，绕过它是必要的。有多种方法可用于此目的：

• 您还可以尝试使用 MobSF 动态分析自动绕过 SSL Pinning（下文有解释）

寻找常见 Web 漏洞

还重要的是在应用程序中寻找常见的 Web 漏洞。有关识别和缓解这些漏洞的详细信息超出了本摘要的范围，但在其他地方有广泛的覆盖。

Frida

转储内存 - Fridump

检查应用程序是否在内存中存储不应该存储的敏感信息，如密码或助记词。

# With PID
python3 fridump3.py -u <PID>

# With name
frida-ps -Uai
python3 fridump3.py -u "<Name>"

这将在./dump文件夹中转储内存，然后您可以使用类似以下方式进行grep：

strings * | grep -E "^[a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+ [a-z]+$"

Keystore中的敏感数据

在Android中，Keystore是存储敏感数据的最佳位置，但是即使有足够的权限，仍然可能访问它。由于应用程序倾向于在此处以明文形式存储敏感数据，因此渗透测试应该以root用户或者有物理访问设备权限的人员身份检查它，因为这些人可能能够窃取这些数据。

即使应用程序将数据存储在keystore中，数据也应该进行加密。

frida -U -f com.example.app -l frida-scripts/tracer-cipher.js

指纹/生物识别绕过

使用以下Frida脚本，可能可以绕过Android应用程序可能正在执行的用于保护某些敏感区域的指纹认证：

frida --codeshare krapgras/android-biometric-bypass-update-android-11 -U -f <app.package>

背景图片

当您将应用程序置于后台时，Android会存储应用程序的快照，因此当应用程序恢复到前台时，它会在加载应用程序之前加载图像，使得应用程序看起来加载得更快。

然而，如果此快照包含敏感信息，那么可以访问快照的人可能会窃取这些信息（请注意，您需要root权限才能访问）。

这些快照通常存储在：/data/system_ce/0/snapshots

Android提供了一种方法，可以通过设置FLAG_SECURE布局参数来防止截屏捕获。通过使用此标志，窗口内容被视为安全内容，防止其出现在截屏中或在非安全显示器上查看。

getWindow().setFlags(LayoutParams.FLAG_SECURE, LayoutParams.FLAG_SECURE);

Android应用程序分析器

Intent注入

开发人员经常创建代理组件，如活动、服务和广播接收器，用于处理这些Intent并将它们传递给诸如startActivity(...)或sendBroadcast(...)等方法，这可能存在风险。

危险在于允许攻击者触发非导出的应用组件或通过误导这些Intent访问敏感内容提供者。一个显著的例子是WebView组件通过Intent.parseUri(...)将URL转换为Intent对象，然后执行它们，可能导致恶意Intent注入。

主要要点

• Intent注入类似于Web的开放重定向问题。

• 利用涉及将Intent对象作为额外参数传递，可以重定向执行不安全的操作。

• 它可以使非导出组件和内容提供者暴露给攻击者。

• WebView的URL到Intent转换可以促成意外操作。

Android客户端注入和其他漏洞

您可能已经从Web了解到这种类型的漏洞。在Android应用程序中，您必须特别注意以下漏洞：

• **SQL注入：**处理动态查询或内容提供者时，请确保使用参数化查询。

• **永久cookie：**在一些情况下，当Android应用程序结束会话时，cookie没有被撤销，甚至可能被保存到磁盘上。

黑客见解 参与深入探讨黑客活动的刺激和挑战的内容

实时黑客新闻 通过实时新闻和见解及时了解快节奏的黑客世界

最新公告 通过最新的赏金任务发布和重要平台更新保持信息灵通

自动分析

静态分析

使用一个漂亮的基于Web的前端对应用程序进行漏洞评估。您还可以执行动态分析（但需要准备好环境）。

docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest

请注意，MobSF可以分析Android(apk)、IOS(ipa)和Windows**(apx)应用程序（Windows应用程序必须从安装了MobSF的Windows主机中进行分析）。 此外，如果您创建一个包含Android或IOS应用程序源代码的ZIP文件（转到应用程序的根文件夹，选择所有内容并创建一个ZIP文件），MobSF也可以分析它。

MobSF还允许您进行差异/比较分析，并集成VirusTotal（您需要在_MobSF/settings.py_中设置您的API密钥并启用它：VT_ENABLED = TRUE VT_API_KEY = <Your API key> VT_UPLOAD = TRUE）。您还可以将VT_UPLOAD设置为False，然后将哈希而不是文件上传。

使用MobSF进行辅助动态分析

MobSF在Android中进行动态分析时也非常有帮助，但在这种情况下，您需要在主机上安装MobSF和genymotion（虚拟机或Docker将无法工作）。注意：您需要先启动genymotion中的虚拟机，然后再启动MobSF。 MobSF动态分析器可以：

• 转储应用程序数据（URL、日志、剪贴板、您制作的屏幕截图、由“导出活动测试器”制作的屏幕截图、电子邮件、SQLite数据库、XML文件和其他创建的文件）。所有这些都是自动完成的，除了屏幕截图，您需要在需要屏幕截图时按下按钮，或者您需要按下“导出活动测试器”以获取所有导出活动的屏幕截图。

• 捕获HTTPS流量

• 使用Frida获取运行时信息

从Android 版本大于5开始，它将自动启动Frida并设置全局代理设置以捕获流量。它只会捕获来自被测试应用程序的流量。

Frida

默认情况下，它还将使用一些Frida脚本来绕过SSL绑定、root检测和调试器检测，以及监视有趣的API。 MobSF还可以调用导出的活动，抓取它们的屏幕截图并为报告保存它们。

要开始动态测试，请按下绿色按钮：“开始仪器化”。按下“Frida实时日志”以查看Frida脚本生成的日志，“实时API监视器”以查看所有挂钩方法的调用、传递的参数和返回值（在按下“开始仪器化”后会出现）。 MobSF还允许您加载自己的Frida脚本（要将您的Friday脚本的结果发送到MobSF，请使用函数send()）。它还有几个预写脚本可供加载（您可以在MobSF/DynamicAnalyzer/tools/frida_scripts/others/中添加更多），只需选择它们，按下“加载”，然后按下“开始仪器化”（您将能够在“Frida实时日志”中看到该脚本的日志）。

此外，您还有一些辅助的Frida功能：

• 枚举加载的类：它将打印所有加载的类

• 捕获字符串：在使用应用程序时打印所有捕获的字符串（非常嘈杂）

• 捕获字符串比较：可能非常有用。它将显示正在比较的两个字符串以及结果是True还是False。

• 枚举类方法：输入类名（如“java.io.File”），它将打印类的所有方法。

• 搜索类模式：按模式搜索类

• 跟踪类方法：跟踪整个类（查看该类的所有方法的输入和输出）。请记住，默认情况下，MobSF跟踪几个有趣的Android Api方法。

选择要使用的辅助模块后，您需要按下“开始仪器化”，然后您将在“Frida实时日志”中看到所有输出。

Shell

Mobsf还为您提供了一个带有一些adb命令、MobSF命令和常见shell命令的shell，位于动态分析页面的底部。一些有趣的命令：

help
shell ls
activities
exported_activities
services
receivers

HTTP工具

完成使用MobSF进行动态分析后，您可以点击“Start Web API Fuzzer”来模糊http请求并寻找漏洞。

adb shell settings put global http_proxy :0

使用 Inspeckage 进行辅助动态分析

这是一个 用 GUI 执行静态分析的好工具

该工具旨在查找几种 与安全相关的 Android 应用程序漏洞，无论是在 源代码 还是 打包的 APK 中。该工具还 能够创建一个可部署的“概念验证”APK 和 ADB 命令，以利用发现的一些漏洞（暴露的活动、意图、tapjacking...）。与 Drozer 一样，无需对测试设备进行 root。

pip3 install --user qark  # --user is only needed if not using a virtualenv
qark --apk path/to/my.apk
qark --java path/to/parent/java/folder
qark --java path/to/specific/java/file.java

• 显示所有提取的文件，便于参考

• 自动将APK文件反编译为Java和Smali格式

• 分析AndroidManifest.xml以查找常见漏洞和行为

• 针对常见漏洞和行为进行静态源代码分析

• 设备信息

• 以及更多

reverse-apk relative/path/to/APP.apk

SUPER是一个命令行应用程序，可在Windows、MacOS X和Linux上使用，用于分析.apk文件以查找漏洞。它通过解压APK并应用一系列规则来检测这些漏洞。

所有规则都集中在rules.json文件中，每个公司或测试人员都可以创建自己的规则来分析他们需要的内容。

super-analyzer {apk_file}

其概念是您将移动应用程序文件（.apk或.ipa文件）拖放到StaCoAn应用程序上，它将为您生成一个可视化和便携式报告。您可以调整设置和单词列表以获得定制体验。

./stacoan

python androbugs.py -f [APK file]
androbugs.exe -f [APK file]

Androwarn 是一个工具，其主要目的是检测并警告用户有关 Android 应用程序可能存在的恶意行为。

该工具寻找**"坏"应用程序的常见行为**，例如：泄露电话标识符、拦截音频/视频流、修改 PIM 数据、执行任意代码...

python androwarn.py -i my_application_to_be_analyzed.apk -r html -v 3

MARA 是一个用于移动应用程序逆向工程和分析的框架。它是一个工具，汇集了常用的移动应用程序逆向工程和分析工具，以帮助测试移动应用程序抵御OWASP移动安全威胁。其目标是使移动应用程序开发人员和安全专业人员更容易友好地执行此任务。

它能够：

• 使用不同工具提取Java和Smali代码

• 使用正则表达式从APK中提取私人信息。

• 分析清单。

Koodous

代码混淆/反混淆

请注意，根据您用于混淆代码的服务和配置，秘密可能会或可能不会被混淆。

ProGuard作为Android SDK的一部分分发，并在发布模式下构建应用程序时运行。

（来自该指南）上次我们检查时，Dexguard的操作模式是：

• 将资源作为InputStream加载；

• 将结果提供给继承自FilterInputStream的类以解密；

• 进行一些无用的混淆以浪费逆向者的几分钟时间；

• 将解密的结果提供给ZipInputStream以获取DEX文件；

• 最后使用loadDex方法将生成的DEX作为资源加载。

DeGuard 反转了Android混淆工具执行的混淆过程。这使得可以进行多种安全分析，包括代码检查和预测库。

您可以将混淆的APK上传到他们的平台。

这是一个通用的Android反混淆工具。 Simplify 虚拟执行应用程序 以了解其行为，然后尝试优化代码 使其行为相同，但更容易让人理解。每种优化类型都是简单且通用的，因此不管使用了什么具体类型的混淆，都不重要。

手动

实验室

AndroL4b是一个基于ubuntu-mate的Android安全虚拟机，包括来自不同安全极客和研究人员的最新框架、教程和实验室，用于逆向工程和恶意软件分析。

参考资料

尚未尝试

黑客见解 参与深入探讨黑客的刺激和挑战的内容

实时黑客新闻 通过实时新闻和见解了解快节奏的黑客世界

最新公告 通过最新的赏金计划发布和重要平台更新保持信息更新