第十天:信息打点-APP&小程序篇&抓包封包&XP框架&反编译&资产提取
信息打点-APP&小程序
一、内在收集-代码
从app代码中去收集
1、移动端AppInfoScanner工具信息收集
安卓语法:
python app.py android -i <Your apk file>
这个是从app代码中提取信息。
有些app会限制代理抓包,需要进行解壳。
类似CDN的技术,为你选择最佳的播放路径。
这里又获取到阿里云oss
2、安卓修改大师工具
反编译:**
从反编译的代码中去搜索关键信息例如:http:
查找的结果不直观,可以通过idea进行代码搜索
二、外在收集-抓包
工具:|茶杯,fd,burp
通过数据包获取app信息
三、资源提取-安装包&资源文件
抓不到数据包,通常是apk进行了加壳操作。
查询可以通过:apk查壳工具
进行apk资源提取,常用工具:apk资源提取器,提取成功的资源可以进行fofa搜索相关信息
四、app无法抓包-Xposed & JustTrustMe 框架
(转载)Android 神器 xposed 框架使用 - 知乎 (zhihu.com)
xposed是一个框架,上面有很多模块,原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed
Xposed:用到这个就可以去壳,就可以进行进一步测试。绕过检测证书等进行抓包。
用到这个模块就可以忽略证书,如果单单用到fiddler或者burpsuite进行抓包,有些会检测证书,检测证书的话有些数据包就没办法抓。
五、微信-电脑版登录启动抓包分析
两个方面信息收集:web 和服务器
有些小程序其实就是APP 放到小程序里面
小程序管理后台:mituomimtm.cn/login
只能抓包,没有程序源码
小程序也是一样小程序是通过抓包,无法获取源代码# 信息打点-APP&小程序
一、内在收集-代码
从app代码中去收集
1、移动端AppInfoScanner工具信息收集
安卓语法:
python app.py android -i <Your apk file>
这个是从app代码中提取信息。
有些app会限制代理抓包,需要进行解壳。
类似CDN的技术,为你选择最佳的播放路径。
这里又获取到阿里云oss
2、安卓修改大师工具
反编译:**
从反编译的代码中去搜索关键信息例如:http:
查找的结果不直观,可以通过idea进行代码搜索
二、外在收集-抓包
工具:|茶杯,fd,burp
通过数据包获取app信息
三、资源提取-安装包&资源文件
抓不到数据包,通常是apk进行了加壳操作。
查询可以通过:apk查壳工具
进行apk资源提取,常用工具:apk资源提取器,提取成功的资源可以进行fofa搜索相关信息
四、app无法抓包-Xposed & JustTrustMe 框架
(转载)Android 神器 xposed 框架使用 - 知乎 (zhihu.com)
xposed是一个框架,上面有很多模块,原理就是修改系统的关键文件,然后当APP调用系统API时,首先经过xposed
Xposed:用到这个就可以去壳,就可以进行进一步测试。绕过检测证书等进行抓包。
用到这个模块就可以忽略证书,如果单单用到fiddler或者burpsuite进行抓包,有些会检测证书,检测证书的话有些数据包就没办法抓。
五、微信-电脑版登录启动抓包分析
两个方面信息收集:web 和服务器
有些小程序其实就是APP 放到小程序里面
小程序管理后台:mituomimtm.cn/login
只能抓包,没有程序源码
小程序也是一样小程序是通过抓包,无法获取源代码
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!